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本 书 介 绍 了 将 网 络 管理 科学 应 用 到 互联 网 协议 地 址 空间 及 相关 联 
的 网 络 服务 等 内 容 。 本 书 分 为 四 个 部 分 ， 第 工 部 分 给 出 IPv4 、IPv6 以 
及 IP 地址 分 配 和 子 网 划分 技术 综述 ; 第 工 部 分 描述 用 于 IPv4 和 IPv6 
的 DHCP， 并 解释 依赖 于 DHCP 的 各 项 应 用 、DHCP 服务 器 部 署 策略 
以 及 DHCP 和 相关 的 网 络 接 入 安全 ; 第 五 部 分 描述 DNS 协议 、DNS 
应 用 、 部 署 策略 和 相关 联 的 配置 以 及 安全 性 ; 第 了 部 分 描述 以 聚合 方 
式 管理 IP 地 址 空间 的 各 项 技术 和 日 常 IP 地 址 管理 功能 。 
本 书 可 作为 卫 网 络 规划 人 员 、 工 程 师 和 管理 人 员 的 实践 用 书 
同时 可 供 部 署 IPv6 网 络 的 技术 人 员 参 考 。 
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译 者 F 


TCP/IP 协议 族 是 因特网 的 核心 组 件 ， 对 于 这 个 发 展 到 成 熟 阶段 的 全 球 网 络 而 言 ， 
能 够 发 展 到 今天 ， 其 起 到 了 功 不 可 没 且 至 关 重 要 的 作用 。 有 人 说 ， 从 体系 架构 方面 而 
言 ， 因 特 网 已 经 开始 出 现 制约 其 发 展 的 瓶颈 ,这 主要 是 针对 IP 这 个 细 腰 来 说 的 ， 认 
为 它 太 细 了 ， 不 能 承载 太 多 的 来 自 网 络 层 以 上 的 多 样 化 需求 。 但 无 论 如 何 说 ， 我 们 在 
目前 还 看 不 到 任何 技术 可 在 短期 内 能 够 替代 IP 成 为 下 一 代 全 球 网 络 的 支撑 性 关键 技 

体 
池 


术 。 因 特 网 的 一 个 核心 理念 是 端 到 端 ， 这 从 IP 报 文 格式 中 的 源 地 址 和 目的 地 得 以 
现 。IP 地 址 是 因特网 的 核心 战略 资源 ， 无论 是 IPv4， 还 是 IPv6， 即 使 可 用 的 地 址 
再 大 ， 面 临 日 益 复 杂 的 巨型 网 络 ， 其 前 景 都 是 令 人 不 容 乐观 的 ， 所 以 IP 地 址 的 管理 
是 维护 网 络 正 常 运 行 、 发 展 和 演化 的 基础 。 

本 书 分 为 四 个 部 分 。 本 书 前 三 部 分 的 焦点 分 别 是 三 项 核心 IPAM 功能 : IP 寻 址 和 
管理 、DHCP 以 及 DNS。 第 信 V 部 分 集成 这 三 部 分 ， 描 述 管理 技术 和 实践 。 

第 工 部 分 给 出 IPv4、IPv6 以 及 IP 地 址 分 配 和 子 网 划分 技术 的 详细 综述 ; 第 开 部 
分 给 出 IPv4 DHCP 和 IPv6 DHCP 的 概述 ， 并 讲解 依赖 于 DHCP 的 各 项 应 用 、DHCP AR 
务 器 部 署 策略 以 及 DHCP 和 相关 的 网 络 访问 安全 ; 第 亚 部 分 描述 DNS 协议 、DNS 应 
用 、 部 署 策略 和 相关 联 的 配置 以 及 安全 性 (包括 DNS 服务 器 和 配置 的 安全 以 及 DNS- 
SEC); 第 IV 部 分 整合 前 三 部 分 ， 讨 论 逻 辑 严密 、 协 调 一 致 地 管理 IP 地址 空间 的 各 项 
技术 ， 其 中 论 及 对 DHCP 和 DNS 的 影响 。 

本 书 由 王 玲 芳 负 责 第 1 和 2 章 翻 译 以 及 全 书 译 稿 的 统 稿 、 校 对 等 ， 袁 开 银 负责 第 
3 ~10 章 的 翻译 工作 ， 陈 海 英 负责 第 11 ~15 章 、 词 汇 表 、RFC 索引 的 翻译 工作 。 本 
书 在 翻译 过 程 中 ， 吴 秋 义 、 李 冬 梅 、 潘 东升 、 吴 环 、 王 弟 英 、 李 虹 、 游 庆 珍 、 李 传 
BRR, ER WFR, ZRH RRR, RH, RR, SRM SH. KSA 
志和 参加 了 部 分 的 翻译 工作 ， 在 此 表示 感谢 。 男 外 ,感谢 互联 网 领域 的 先驱 者 、 实 践 者 
和 研究 人 员 。 
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读者 原谅 和 指正 。 
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原 书 前 言 


IP 地 址 管理 (IPAM) 实践 内 容 包括 将 网 络 管理 学 科 知 识 应 用 到 因特网 协议 
(IP) 地 址 空间 和 相关 联 的 网 络 服务 ( 即 动态 主机 配置 协议 (DHCP) 和 域名 系统 
(DNS) ) 。IP 地 址 规划 和 DHCP 服务 器 、DNS 服务 器 配置 之 间 的 联系 是 不 可 分 的 。 一 
个 IP 地 址 的 改变 会 影响 DNS 信息 ， 也 许 还 会 影响 DHCP。 这 些 服务 提供 了 如 今 融 合 
服务 IP 网 络 的 基础 ， 该 网 络 可 提供 独特 的 在 任何 时 间 、 任 何 地 点 的 通信 能 

如 果 如 笔记 本 计算 机 (RED) RIP (VoIP) 电话 等 端 用 户 设备 不 能 通过 
DHCP 得 到 一 个 卫 地 址 ， 那 么 这 些 设备 将 是 不 可 用 的 ， 此 时 用 户 将 会 给 服务 台 打 电 
话 。 类 似 地 ， 如 果 没 有 正确 配置 DNS， 则 依据 名 字 、 电 话 号 码 或 网 页 地 址 导航 的 应 用 
将 同样 地 受到 影响 ， 并 导致 服务 台 接 到 大 量 呼叫 电话 。 

在 一 个 企业 或 服务 提供 商 的 IP 网 络 管理 策略 中 ， 有 效 的 IPAM 实践 是 一 项 核心 
构成 。 如 此 ，IPAM 地 址 配置 、 变 更 控制 、 审 计 、 报 告 、 监 视 、 故 障 解决 和 有 关 功 能 ， 
都 适用 于 以 下 三 项 基础 IPAM 技术 。 

(1) IP 地 址 子 网 划分 和 记录 跟踪 (IPv4/IPv6 寻 址 ) ， 一 项 周密 的 IP 地 址 规划 的 
维护 ， 这 可 提升 路 由 汇总 、 维 护 准确 的 IP 地 址 清单 ， 并 提供 一 项 自动 的 各 IP 地 址 指 
派 和 记录 跟踪 机 制 。 在 每 个 子 网 上 各 IP 地 址 指派 的 这 项 记录 跟踪 措施 ， 包 括 由 硬 编 
码 指 派 的 那些 地 址 (例如 路 由 器 或 服务 器 ) 以 及 其 他 动态 指派 的 那些 地 址 (例如 笔 
记 本 计算 机 和 VoIP 电话 ) 。 
(2) DHCP; 与 位 置 和 设备 类 型 有 关 的 自动 耻 地 址 和 参数 指派 。 这 要 求 对 配置 于 设备 
上 的 地 址 指派 记录 跟踪 ， 以 及 预 留 动态 分 配 的 地 址 池 。 为 了 支持 设备 请 求 一 个 全 地 址 ， 
并 相应 地 接收 到 一 个 位 置 相 关 的 地 址 ， 可 将 这 些 地 址 配置 于 DHCP 服务 器 上 。 

(3) DNS: 主机 名 的 查找 或 解析 ， 例 如 将 www 表 项 映射 到 IP 地址。IP 地 址 管理 
的 这 第 三 项 关键 功能 处 理 的 是 ， 通 过 使 用 名 字 而 不 是 IP 地 址 建立 耳 通 信 ， 简 化 了 IP 
通信 的 复杂 度 。 毕 竟 ， 被 映射 的 卫 地 址 必须 与 卫 地 址 规划 保持 一 致 。 

在 本 书 前 三 部 分 中 ， 讨 论 了 组 成 这 三 项 核心 功能 的 各 项 技术 。 在 第 了 部 分 2 的 
IPAM 实践 中 ， 解 释 了 它们 的 相互 关系 以 及 紧密 一 致 地 管理 它们 的 各 项 实践 。 多 数 IP 
网 络 在 不 断 地 发 生 着 变化 ， 原 因 是 日 常 的 商务 需求 ， 如 开 新 店 、 办 公 场 所 关闭 或 撤 
迁 、 注 册 公 司 以 及 新 的 设备 和 设备 类 型 都 需要 了 P 地址 。 影 响 IP 网 络 的 这 些 变 化 以 及 
其 他 变化 对 现 有 IP 地址 规划 具有 重大 影响 。 随 着 用 户 数 和 IP 地 址 数 的 增加 ， 以 及 子 
网 (或 站 点 ) 数量 增加 ，IP 地 址 分 配 、 各 项 指派 以 及 相关 DNS 服务 器 和 DHCP 服务 
器 配置 等 的 跟踪 记录 以 及 管理 任务 的 复杂 度 也 增加 了 。 


O 实际 上 ， 在 相应 技术 章节 中 ， 讨 论 了 组 成 IPAM 实践 的 几 项 措施 ， 而 且 将 这 几 项 措施 汇总 于 第 到 部 
分 的 整体 实践 中 。 


原 书 前 言 V 


如 今 执行 IPAM 功能 的 最 常见 方法 包括 使 用 电子 表格 跟踪 记录 IP 地 址 ， 使 用 文 
本 编辑 器 或 微软 Windows 配置 DHCP 和 DNS 服务 器 。 如 此 ， 将 使 用 样 例 电子 表格 数 
据 和 配置 文件 范例 ， 将 其 应 用 到 名 为 IPAM 全 球 公 司 的 一 个 虚构 组 织 机 构 ， 由 此 在 整 
部 书 通 篇 展示 IPAM 概念 。 这 样 做 的 意图 是 将 技术 和 配置 细节 与 一 个 真实 世界 范例 联 
系 起 来 。 

本 书 结构 

本 书 分 成 为 四 部 分 。 本 书 前 三 部 分 的 焦点 分 别 是 三 项 核心 IPAM 功能 : IP 寻 址 和 
管理 、DHCP 和 DNS。 第 人 V 部 分 集成 这 三 部 分 ， 描 述 管 理 技术 和 实践 。 

第 I 部 分 : IP 寻 址 。 本 部 分 给 出 IPv4、IPv6 UA IP 分 配 和 子 网 划分 技术 的 详细 
综述 。 

第 1 章 : 因特网 协议 。 本 章 从 回顾 IP 首部 开始 ， 到 分 类 的 、 无 类 的 和 专用 全 导 
址 ， 全 面 讲解 全 (IPv4)， 讨论 因特网 协议 的 演化 过 程 以 及 作为 保留 全 球 IP 地 址 空间 
关键 技术 的 网 络 地 址 转换 和 私有 寻 址 技术 的 发 展 过 程 。 

第 2 章 : IPv6 (因特网 协议 版 本 6)。 本 章 描 述 IPv6 首部 和 IPv6 寻 址 ， 包 括 地 址 
表示 、 结 构 和 当前 因特网 编号 管理 局 (IANA) 分 配 。 本 章 包括 依据 类 型 而 分 的 各 种 
地 址 〔〈 即 保留 地 址 、 全 局 单 播 地 址 、 唯 一 本 地 单 播 地 址 、 链 路 本 地 地 址 和 组 播 地 址 ) 
分 配 的 详细 讨论 ， 也 描述 了 特殊 用 途 的 地 址 ， 包 括 请 求 (solicited) 节点 地 址 和 节点 
信息 查询 地 址 。 本 章 接 下 来 讨论 修改 的 EUI-64 算法 和 地 址 自动 配置 ， 最 后 以 保留 的 
子 网 任意 播 地 址 和 IPv6 主机 所 必需 的 地 址 讨论 结束 本 章 。 

第 3 章 : IP 地 址 分 配 。 本 章 讨论 IPv4 和 IPv6 地 址 空间 IP 地 址 块 分 配 的 各 项 技 
术 ， 包 括 最 佳 拟 合 层次 结构 地 址 分 配 逻 辑 和 范例 ， 以 及 IPv6 稀 丽 的 和 随机 的 分 配方 
法 。 本 章 也 讨论 独特 的 本 地 地 址 空间 和 因特网 注册 机 构 的 作用 。 地 址 块 分 配 是 耳 地 
址 管理 的 一 项 重要 功能 ， 它 为 DHCP 和 DNS 服务 的 配置 黄 定 了 基础 。 

SUBD: 动态 主机 配置 协议 (DHCP)。 本 部 分 给 出 IPv4 DHCP 和 IPv6 DHCP 
的 概述 ， 并 讲解 依赖 于 DHCPv6 的 各 项 应 用 、DHCP 服务 器 部 署 策略 以 及 DHCP 和 相 
关 的 网 络 访问 安全 。 

第 4 章 : DHCP, AHHH DHCP, 包括 协议 状态 、 消 息 格式 、 选 项 和 范例 的 讨 
论 。 给 出 标准 选项 参数 及 其 描述 的 一 览 

第 5 章 : 用 于 IPv6 ty DHCP (DHCP), A i+ fF DHCP, 包括 与 DHCPv4 的 
比较 、 消 息 格式 、 选 项 和 范例 。 并 给 出 DHCPv6 选项 参数 的 一 览 

第 6 章 : DHCP 的 各 项 应 用 。 在 前 面 两 章 的 技术 性 讨论 之 后 ， 本 章 重 点 突出 了 
DHCP 的 终端 用 户 工具 ， 描 述 依 赖 于 DHCP 的 各 项 关键 应 用 ， 包 括 VoIP 设备 准备 工 
作 、 宽 带 接 入 准备 工作 、PXE ( Preboot execute Environment， 预 启动 执行 环境 ) 客户 
端 初始 化 和 租 期 限制 。 

第 7 章 : DHP 服务 器 部 署 策略 。 本 章 从 服务 器 尺寸 确定 、 数 量 和 位 置 等 方面 讲 
ff DHCP 服务 器 部 署 的 折 中 考虑 因素 。 将 讨论 涉及 分 布 式 方法 和 中 心 式 方法 的 DHCP 
部 署 选 项 ， 也 将 讨论 元 余 的 DHCP 配置 。 

第 8 章 : DHP 和 网 络 接 入 安全 。 本 章 讲 解 DHCP 安全 考虑 因素 ， 并 讨论 DHCP 
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作为 一 个 组 件 的 网 络 接 入 安全 问题 。 描 述 一 个 DHCP 受 控 的 门户 配置 范例 ， 作 为 有 关 
网 络 接 入 控制 (NAC) 方法 的 一 个 总 结 ， 其 中 包括 基于 DHO 的 方法 ， 基 于 交换 机 
的 、Cisco NAC 和 微软 NAP 方法 。 

第 亚 部 分 : 域名 系统 (DNS) 。 本 部 分 描述 DNS WR, DNS 应 用 、 部 署 策略 和 相 
关联 的 配置 以 及 安全 (包括 DNS 服务 器 和 配置 的 安全 以 及 DNSSEC) 。 

第 9 章 : DNS 协议 。 本 章 给 出 DNS 的 综述 ， 包 括 DNS 概念 、 消 息 细节 以 及 协议 
扩展 的 讨论 。 讲 解 的 DNS 概念 包括 基本 解析 过 程 ， 前 向 域 和 反 向 域 、 根 信息 、 本 地 - 
主机 域 等 的 域 树 ， 以 及 解析 器 配置 。 消 息 细节 包括 DNS 的 编码 (包括 DNS 头 部 、 标 
签 格式 ) 以 及 国际 域名 的 综述 。DNS 更 新 消息 格式 化 过 程 也 作为 EDNS0 加 以 讨论 。 

第 10 章 : DNS 应 用 和 资源 记录 。 在 第 9 章 的 基础 上 ， 本 章 描述 依赖 于 DNS HK 
键 应 用 ， 包 括 域名 解析 、 服 务 定位 、ENUM (Telephone Number Mapping， 电 话 号 码 映 
射 ) 、 采 用 黑 / 白 名 单列 表 的 反 垃 圾 技术 、SPF (Sender Policy Framework， 发 送 者 策略 
框架 ) Sender (发 送 者 ID) ID 和 DKIM (Domain Keys Identified Mail， 域 名 密 钥 可 识 
别 的 邮件 ) 。 在 相关 联 资源 记录 的 上 下 文中 给 出 应 用 支持 的 讨论 内 容 。 

第 11 章 : DNS 服务 器 部 署 策略 。 在 本 章 中 ， 讲 解 DNS 部 署 策略 和 所 做 出 的 折 
+, DNS 服务 器 部 署 场景 包括 外 部 DNS、 因 特 网 缓存 、 隐 藏 的 主 控 / 从 属 (masters/ 
slaves) 、 多 主 控 、 视 图 、 转 发 、 内 部 根 和 任意 播 。 

第 12 章 : 保障 DNS 安全 (第 工 部 分 ) 。 本 章 是 有 关 DNS 安全 的 两 章 中 的 第 工 部 
分 。 本 章 讲解 与 DNS 安全 有 关 的 各 种 话题 ， 不 包括 DNSSEC (DNS 安全 扩展 ) (在 有 
Æ DNSSEC 的 一 章 中 讲述 ) 。 首 先 给 出 已 知 的 DNS 弱点 ， 接 下 来 给 出 每 个 弱点 的 缓解 
方法 。 

第 13 章 : 保障 DNS 安全 (第 开 部 分 ): DNSSEC。 本 章 详 细 讲解 DNSSEC， 讨 论 
产生 密 钥 、 区 域 (zone) 签名 、 安 全 地 解析 名 字 和 轮换 (rolling) 密 钥 的 过 程 ， 还 讨 
论 一 个 范例 配置 。 

ANRA: IP 地 址 管理 (IPAM) 集成 。 本 部 分 整合 前 三 部 分 ， 讨 论 了 紧密 一 致 
管理 IP 地 址 空间 的 各 项 技术 ， ela DNS 的 影响 。 

第 14 章 : IPAM we 本 章 描述 日 常 IP 管理 功能 ， 包括 IP 地 址 分 配 和 指派 、 重 
新 编号 、 移 动 、 分 割 、 合 并 、DHCP r DNS 服务 器 配置 、 地 址 清单 管理 、 故 障 管 理 、 
性 能 监测 和 灾难 恢复 。 es 网 络 管理 模型 组 织 的 ， 强 调 了 将 一 种 科学 
性 的 “网 络 管理 ”方法 应 用 到 IPAM 的 必要 性 。 

第 15 章 : IPv6 部 署 和 IPv4 共存 。 在 一 个 IPv4 网 络 中 实现 ITPv6， 将 促进 IPv4 和 
IPv6 协议 的 长 期 共存 。 本 章 给 出 共存 策略 的 细节 ， 将 其 分 组 为 有 关 双 栈 、 隧 道 方法 
和 转换 技术 等 节 。 涵 盖 内 容 包括 6to4 、ISATAP 6over4, Teredo, DSTM, & RK 
打 隧 道 方 法 ， 和 NAPT-PT、SOCKS 、TRT、ALG UEI PH MFR APL 转换 方法 。 本 
章 以 一 些 基 本 迁移 场景 结束 。 


Timothy Rooney 
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第 I 部 分 IP 寻 址 


第 [部 分 开始 讨论 IPAM 的 第 一 块 基石 : IP 寻 址 。 本 部 分 涵盖 IPv4 协议 、IPv6 
协议 和 地 址 块 管理 技术 。 


Bla 因特网 协议 


1.1 因特网 协议 历史 的 精彩 部 分 


因特网 协议 (IP) 改变 了 所 有 事物 。 我 在 美国 电话 电报 公司 (AT&T) 贝尔 实验 
室 的 早期 生涯 ， 当 时 是 20 世纪 80 年 代 中 期 我们 使 用 哑 终 端 连 接 到 大 型 计算 机 的 主 
机 (mainframe) ， 连 网 领域 才 开始 支持 智能 的 分 布 式 处 理 ， 这 个 处 理 过 程 从 一 个 中 心 
化 的 大 型 计算 机 主机 到 连 网 的 服务 器 、 路 由 器 ， 最 终 才 连 接 到 个 人 计算 机 。 既 然 提 到 
了 我 的 过 去 ， 就 继续 说 ， 在 稍 后 一 段 时 间 ， 许 多 竞争 性 的 连 网 技术 都 希望 苋 争 得 到 在 
企业 部 署 的 位 置 ， 但 却 没有 分 出 伯仲 。 完 全 不 同 的 连 网 协议 和 技术 的 部 署 ， 导 致 各 组 
织 机 构 间 不 能 相互 通信 ， 直 到 20 世纪 90 年 代 ， 多 亏 了 因特网 的 广 受 拥戴 ， 因 特 网 协 
议 才 成 为 世界 范围 事实 上 的 连 网 协议 。 


三 


因特网 域 调 查 主机 数 统计 来 源 :ISC 
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图 1-1 1993-2010131 期 间 因 特 网 主机 的 增长 情况 (来 源 : ISC) 
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如 今 的 现状 是 ， 因 特 网 协议 是 世界 范围 内 得 到 最 广泛 部 署 的 网 络 层 协议 。 从 20 
世纪 60 年 代 开始 的 美国 国防 部 资助 的 一 项 连 网 项 目 诞 生 伊始 ， 到 目前 为 止 ， 传 输 控 
制 协议 /因特网 协议 (TCP/IP) 族 已 经 演化 并 规模 扩展 到 可 支持 数 百 台 计算 机 到 数 亿 
台 计 算 机 构成 的 各 种 类 型 网 络 。 事 实 上 ,依据 因特网 系统 联盟 (Internet Systems Con- 
sortium, ISC) 调查 结果 ， 在 因特网 上 设备 或 主机 2 的 数量 在 2010 年 初 就 超过 7 亿 
3000 万 台 ， 在 过 去 6 年 间 ， 每 年 平均 增加 7500 万 台 主 机 ( 见 图 1-1)。 因 特 网 已 经 从 
一 个 研究 项 目 无 颖 地 扩展 到 连接 有 超过 7 亿 3000 万 台 主 机 的 一 个 巨型 网 络 ， 这 样 的 
事实 是 对 因特网 开发 人 员 的 理想 恒 慢 的 实证 ， 以 及 是 该 网 络 底层 技术 设计 强健 性 的 
实证 


因特网 协议 “最 初 ” 是 1980 年 在 请 求 评述 (RFC2 ) 760! 41 791 He SAY, 
是 由 德高望重 的 Jon Postel 编辑 的 。 我 们 引用 “最 初 ” 的 说 法 ， 是 因为 Postel 先生 在 
他 的 前 言 中 指出 ， 虽 然 在 RFC 791 中 它 被 称 作 版 本 4 (IPwd )， 但 它 是 构筑 在 ARPA 
(高 级 研究 项 目 局 ， 这 是 美国 国防 部 的 一 个 局 ) 因特网 协议 前 6 个 较 早 版 本 基础 上 
的 。RFC 791 陈述 说 ， 因 特 网 协议 执行 两 项 基本 功能 : 寻 址 和 分 段 。 虽 然 这 看 起 来 可 
能 使 那 时 及 以 后 实现 的 因特网 协议 的 许多 其 他 功能 和 特征 不 那么 重要 ， 但 对 于 任何 一 
名 协议 设计 者 而 言 ， 它 实际 上 重点 突出 了 这 两 个 主要 话题 的 重要 性 。 分 段 实施 如 下 功 
能 : 将 消息 分 割 成 许多 IP 报 文 ， 从 而 使 它们 可 在 具有 有 效 报 文 尺 寸 约束 的 网 络 上 进 
行 传输 ， 并 在 目的 地 以 正确 的 顺序 对 报 文 实施 组 装 。 当 然 ， 寻 址 是 本 书 的 关键 话题 之 
一 ， 所 以 确保 要 求 可 达 性 的 主机 的 唯一 可 寻 址 能 力 ， 对 于 基本 协议 操作 而 言 ， 这 就 是 
至 关 重 要 的 了 。 

因特网 已 经 成 为 日 常 个 人 和 商务 工作 的 一 个 不 可 分 割 的 工具 ， 其 上 有 各 种 应 用 ， 
如 电子 邮件 、 社 会 网 络 、 万 维 网 浏览 、 无 线 接 入 和 语音 通信 。 因 特 网 确实 已 经 成 为 现 
代 社 会 的 一 项 关键 组 成 元 素 。 正 如 你 所 关注 的 , “因特网 ” (Internet) 这 个 术语 从 因 
特 网 技术 早期 开发 人 员 所 用 术语 的 小 写 形式 变化 而 来 的 ， 现 在 指 互 相连 接 网 络 或 
“互联 网 ” 间 的 各 种 通信 。 

WS, KEAN “Internet” (因特网 ) ， 即 我 们 日 常 使 用 的 全 球 因 特 网 ， 已 经 成 为 
互相 连接 网 络 的 一 个 巨型 网 络 。 使 所 有 这 些 网 络 以 及 在 这 些 网 络 之 上 的 主机 高 效 地 协 
作 ， 并 交换 用 户 间 的 通信 ， 这 就 要 求 遵 守 这 些 通信 的 规则 集 。 这 个 规则 集 ， 即 这 个 协 
议 ， 定 义 了 标识 每 台 主 机 或 端点 的 方法 以 及 在 一 个 网 络 上 如 何 使 信息 从 点 A 传递 到 
点 B 的 方法 。 因 特 网 协议 使 用 下 报 文 (每 个 IP 报 文 前 面 都 有 一 个 IP 首部 ) 这 个 运 
输 工 具 ， 规 范 了 通信 的 这 种 规则 。 


四” 网络 层 指 开放 系统 互 连 (OSI) 7 层 协议 模型 的 第 3 层 。 了 P 的 设计 目的 是 与 第 4 层 (传输 层 ) 的 
传输 控制 协议 (TCP) 或 用 户 数据 报 协 议 (UDP) 一 起 使 用 ， 因 此 才 有 了 TCP/IP 族 的 术语 。 在 名 
H CIP 地 址 管理 绪论 》 (参考 文 献 11) 的 书 中 ， 讨 论 了 0SI 模型 和 卫 连 网 的 常识 。 

O “主机 ”(host) 这 个 术语 是 相对 于 一 台 路 由 器 或 中 间 设 备 而 言 的 ， 指 通信 路 径 中 的 一 个 端 节点 。 

© ”因特网 协议 继续 演化 发 展 ， 它 的 规范 是 以 顺序 编号 的 RFC 形式 归档 的 。 因 特 网 工程 任务 组 
(IETF) 是 一 个 开放 的 没有 正式 成 员 的 社团 组 织 ， 它 负责 发 布 RFC。 
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1.1.1 IP 首部 


TCP/IP ARRAY IP ZM TCP EÈ UDP 传输 层 接收 数据 ， 并 为 该 数据 添加 一 个 IP 
首部 。 分 布 于 到 最 终 目 的 地 的 整 条 路 径 上 的 各 台 路 由 器 分 析 这 个 卫 首 部 ， 最 终 将 每 
条 IP 报 文 交 付 到 该 报 文 的 最 终 目 的 地 ， 最 终 目的 地 是 由 首部 中 的 目的 IP 地 址 标识 
的 。RFC 791 将 IP 地 址 结构 定义 为 32bit 结构 ， 该 结构 开始 是 一 个 网 络 号 ， 接 下 来 是 
一 个 本 地 地 址 。 在 每 个 IP 报 文 的 首部 中 携带 该 地 址 。 图 1-2 展示 出 IP 首部 的 各 字段 。 
每 个 IP 报 文 包含 一 个 IP 首部 ， 接 下 来 是 报 文 内 部 的 数据 内 容 ， 该 内 容 包 括 较 高 层 协 
议 的 控制 信息 。 


Obit 4 15 16 31 


ve 


ae 
| 


项 
变 长 一 填充 到 32bit 整 数 全 


图 1-2 ”IPv4 首部 字段 口 


(1) 版 本 (Version)。 因 特 网 协议 版 本 ， 在 这 种 情形 中 是 4。 

(2) 首部 长 度 (Header Length) (因特网 首部 长 度 ，IHL)。 以 称 为 “ 字 ” 的 
32bit 单元 表示 的 IP 首部 长 度 。 例 如 ， 最 小 首部 长 度 是 5， 在 图 1-2 中 突出 显示 为 浅 
色 阴 影 字 段 ， 它 由 5 个 字 x32bit/ 字 =160bit 组 成 。 

(3) 服务 类 型 (Type of Service) 。 与 报 文 的 服务 质量 (QoS) 有 关 的 参数 。 最 初 
定义 为 ToS (服务 类 型 ) ， 这 个 字段 由 一 个 3bit 优先 级 字段 和 另 一 个 3bit 组 成 ， 前 3bit 
支持 区 分 一 个 特定 报 文 的 相对 重要 性 ， 后 3bit 分 别 用 来 请 求 低 延 迟 、 高 吞吐 量 或 高 可 
靠 性 的 服务 。 

TE RFC 2474“IPv4 和 了 Pv6 首部 中 ， 区 分 服务 字段 (DS 字段 ) 的 定义 ” (177) 
重新 定义 了 原始 的 ToS 字段 。DS 字段 (或 称 区 分 服务 字段 ) 提供 了 一 个 6bit 的 码 点 
(DSCP， 区 分 服务 码 点 ) FE, RR 2bit 未 用 。 码 点 映射 到 一 项 预定 义 的 服务 ， 接 下 
来 该 服务 被 关联 到 由 网 络 提供 的 一 个 服务 等 级 。 随 着 因特网 权威 机 构 以 相应 的 服务 处 
理 法 定义 新 的 码 点 ， 则 卫 路 由 器 可 实施 对 应 于 所 定义 码 点 的 路 由 处 理 方法 ， 例 如 ， 
针对 延迟 敏感 的 应 用 实施 较 高 优先 级 的 处 理 。 
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(4) 总 报 文 长 度 (Total Packet Length) 。 以 字 节 (Byte) (8bit 长 的 字符 ) 表示 的 
整个 他 报 文 的 长 度 。 

(5) 标识 符 (Identification) 。 为 每 条 报 文 赋予 值 ， 有 助 于 在 接收 端 对 报 文 分 段 进 
行 组 装 。 

(6) 标志 (Flags) 。 这 个 3bit 字段 定义 如 下 : 

1) bit 0 是 保留 的 ， 必 须 为 0。 


2) bit 1 一 一 不 要 分 段 一 一 表明 这 条 报 文 不 能 分 段 。 
3) bit 2 一 一 更 多 分 段 一 一 表明 这 条 报 文 是 一 个 分 段 ， 但 这 不 是 最 后 一 个 分 段 。 


(7) 分 段 偏 移 (Fragment Offset) 。 标 识 这 个 分 段 相 对 于 原始 报 文 开始 部 分 的 位 
置 ， 是 以 64bit 的 “ 双 字 ” 为 单位 标识 的 。 

(8) 存活 时 间 (TIL)。 一 个 计数 器 ， 在 每 个 路 由 跳 要 减 1; 一 旦 TIL 到 达 0， 则 
报 文 被 丢弃 。 这 个 参数 防止 报 文 在 因特网 中 永久 地 循环 而 不 消失 。 

(9) 协议 (Protocol)。 指 明 在 IP 处 理 之 后 ， 将 接收 这 条 报 文 的 上 层 协议 ， 例 如 
TCP 或 UDP。 

(10) 首部 校 验 和 (Header Checksum) 。 对 首部 各 比特 计算 得 到 的 一 个 校 验 和 值 ， 
目的 仅 是 验证 该 首部 没有 损坏 而 已 。 

(11) W IP Hehi (Source IP Address) 。 这 条 报 文 的 发 送 者 的 下 地 址 。 

(12) 目的 地 IP 地 址 (Destination IP Address ) 。 这 条 报 文 的 预期 接收 者 的 IP 
地 址 。 

(13) 选项 (Options), AAA PhRMA HAY HES BAY AY eH Be, SC RR Pe h 
( 源 路 由 ) 、 诊 断 (trace route (跟踪 路 由 ) 、 最 大 传输 单元 (MTU) 发 现 ) 等 。 


nas EJ | | | | 
EA 00000l00000000lo0000000lo1o01o | 
nee natal 192 0 2 73 
以 点 (. ) 分 隔 


= 


192.0.2.73 
图 1-3 二进制 到 点 分 十 进 制 的 转换 


如 果 你 发 现 IP 首部 细节 的 这 个 解释 有 点 滑稽 ， 那 也 没有 什么 。 现 在 让 我 们 将 关 
注 焦点 放 在 源 了 下地 址 和 目的 地 IP 地 址 字段 以 及 IP 寻 址 结构 上 。 


1.2 IP 4k 


IP 地 址 字段 是 由 32bit 组 成 的 。 人 们 所 熟悉 的 一 个 IP 地 址 点 分 十 进 制 表示 法 ， 反 
映 了 将 32bit 地 址 分 割 成 四 个 8bit 字 节 的 想法 。 将 四 个 字 节 的 每 个 字 节 都 转换 为 十 进 
制 ， 之 后 以 十 进 制 点 或 “点 ”(dots) 将 它们 隔离 开 。 相 比 于 将 这 些 32bit 作为 一 个 大 
数 计算 的 方法 ， 这 当然 要 容易 得 多 ! 考虑 图 1-3 中 的 32bit IP 地 址 。 简 单 地 将 这 个 地 
址 分 割 成 四 个 字 节 ， 把 每 个 字 节 转换 为 十 进 制 ， 之 后 将 每 个 字 节 的 十 进 制 表示 以 
“点 ” 隔 开 。 由 此 ， 得 到 “点 分 十 进 制 ”的 术语 。 
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1.2.1 基于 类 别 的 寻 址 S 


RFC 791 中 定义 了 三 个 类 别 的 地 址 : A, B 和 C 类 。 这 些 类 别 由 图 1-4 所 示 的 
32bit 地 址 的 前 几 个 比特 加 以 识别 。 每 个 类 别 对 应 于 一 个 特定 尺寸 (大 小 ) 的 网 络 号 
和 本 地 地 址 字段 。 本 地 地 址 字段 可 被 指派 到 独立 的 主机 或 进一步 分 成 子 网 和 主机 字 
Be, 我们 将 在 后 面 讨论 。 

将 地 址 空间 分 成 类 别 的 做 法 ， 为 针对 不 同 用 户 的 需要 而 方便 地 定义 不 同 大 小 的 网 
络 提供 了 一 种 方法 。 当 时 ， 因 特 网 是 由 某 些 美国 政府 部 门 、 大 学 和 一 些 研究 机 构 组 成 
的 。 它 还 没有 成 行 成 为 像 今 天 一 样 事实 上 的 世界 范围 骨干 网 络 ， 所 以 地 址 容量 看 来 似 
乎 是 无 限 的 。 在 这 些 字 节 边界 上 将 地 址 空间 分 成 类 别 的 另 一 个 原因 是 ， 比 较 容 易 实 现 
网 络 路 由 。 简 单 地 检查 目的 地 址 的 前 几 个 比特 ， 路 由 絮 就 能 够 识别 网 络 号 字段 的 长 
度 。 之 后 路 由 器 将 简单 地 在 它们 的 路 由 表 中 查找 这 个 IP 地 址 的 网 络 号 部 分 ， 并 据 此 
路 由 每 条 报 文 。 在 那些 日 子 里 ， 计 算 能 力 是 相当 有 限 的 ， 所 以 最 小 化 处 理 需 求 是 男 一 
项 考虑 因素 。 分 类 寻 址 的 一 个 副作用 是 简单 的 可 达 性 。 每 个 点 分 十 进 制 数 表示 二 进 制 
中 的 一 个 字 节 。 就 如 我 们 以 后 将 了 解 到 的 ， 当 讨论 无 类 别 寻 址 时 ， 如 今 的 典型 情况 并 
不 是 上 面 提 到 的 情况 。 


A 类 
bits 0 1 78 31 


NI 


7 


B% 
bit 号 0 2 15 16 31 
10 网 络 号 14bit 本 地 地 址 16bit 


C 类 
bit 号 0 3 23 24 31 


图 1-4 基于 类 别 的 寻 址 


仔细 人 研究 这 个 基于 类 别 的 寻 址 结构 ， 我 们 可 观察 到 一 些 关键 点 : 

(1) A 类 网 络 

BA 类 前 级 以 二 进 制 0([01,)° 开始， 加 上 7 个 附加 比特 ,或 说 网 络 地 址 部 分 
总 共有 8bit 

国 全 0 网 络 地 址 是 无 效 的 2 。 

国 网 络 地 址 [01111111], =127 是 一 个 保留 地 址 。 地 址 127. 0. 0. 1 用 于 一 个 接口 
上 的 “回环 地 址 ”。 


”本 章 后 面 大 部 分 内 容 利 用 了 参考 文献 [11] 第 2 章 的 资料 。 

O 在 可 能 存在 二 义 性 的 场合 ， 为 了 区 分 一 个 二 进 制 0 (bit) 和 一 个 十 进 制 0 (7 或 8bit) ， 我 们 以 适 
当 的 基数 作为 下 标 。 不 要 担忧 ; 我 们 不 会 离 题 到 化 学 方面 去 讨论 以 0 表示 氧气 分 子 式 ， 这 里 是 
简单 的 “以 2 为 基 的 数字 0”。 

稀 ” 但 一 些 协议 (例如 DHCP) 使 用 全 0 地 址 作为 “这 个 ( 本)” 地 址 的 位 置 保留 符 
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国 这 样 的 结果 是 ， 一 个 A 类 网 络 前 缀 第 一 个 字 节 的 范围 是 [00000001 ]， 到 
[01111110], =1 ~126, 

图 本 地 地 址 字段 的 长 度 是 24bit。 这 等 于 每 个 网 络 地 址 空间 (A 类 网 络 ) 有 多 达 
2”=16777216 个 可 能 的 本 地 地 址 。 一 般 来 说 ， 全 0 本 地 地 址 表示 该 “网 络 ”地 址 ， 
全 1 地 址 是 网 络 广播 地 址 ， 所 以 通常 我 们 从 本 地 地 址 容量 中 减 去 这 两 个 地 址 ， 这 样 得 
到 每 个 A 类 网 络 有 16777214 个 主机 地 址 。 因 此 ，10. 0.0.0 是 10.0. 0.0/8 的 网 络 地 
址 ，10. 255. 255. 255 是 到 10. 0. 0. 0/8 网 络 上 所 有 主机 的 广播 地 址 。 

(2) B 类 网 络 

国 B 类 网 络 以 [10], 开始 ,加 上 14 个 附加 比特 , 或 说 网 络 地 址 部 分 总 共 
有 16bit。 

图 以 二 进 制 表示 的 B 类 网 络 前 级 范围 是 [10000000 00000000 ], 到 [10111111 
11111111], 或 网 络 范围 是 128. 0. 0.0 到 191.255.0.0， 得 到 16384 个 网 络 地 址 。 

图 本 地 地 址 字段 的 长 度 是 16bit， 每 个 B 类 网 络 有 65536-2 =65534 个 可 能 的 主机 
地 址 。 

(3) C 类 网 络 

mc 类 网 络 以 [110], 开始 ,加 上 21 个 比特 附加 ， 或 说 网 络 地 址 部 分 总 共 
有 24bit。 

mc 类 网 络 前 级 的 范围 是 [11000000 00000000 00000000 |, 到 [ 11011111 
11111111 11111111], 或 网 络 范围 是 192. 0. 0. 0 到 223.255.255.0, #21) 2097152 个 

图 本 地 地 址 字段 的 长 度 是 8bit， 每 个 C 类 网 络 有 256-2 =254 个 可 能 的 主机 地 址 。 

(4) D 类 网 络 〈 在 图 1-4 中 没有 画 出 ) 

MD 类 网 络 是 在 RFC 791 之 后 定义 的 ， 表 示 组 播 地 址 ， 是 从 [1110], 开始 的 。 
组 播 可 用 于 流 化 应 用 ， 在 其 中 多 个 用 户 或 署名 用 户 (subscribers) 从 一 个 共同 的 源 接 
收 一 系列 的 他 报 文 。 换 句 话 说 ， 具 有 一 个 共同 组 播 地 址 的 多 台 主 机 将 接收 到 发 送 到 
组 播 组 或 地 址 的 所 有 IP 流量 。 组 播 网 络 没 有 网 络 部 分 和 主机 部 分 ， 原因 是 一 个 组 播 
组 的 各 成 员 可 能 处 于 许多 不 同 的 物理 网 络 之 上 。 

BD 类 网 络 的 范围 是 从 [11100000 00000000 00000000 00000000], 到 [11101111 
11111111 11111111 11111111]，,， 或 网 络 范围 是 224. 0.0.0 到 239. 255. 255.255, ， 得 到 
268435456 个 组 播 地 址 。 

(5) EE 类 网 络 (在 图 1-4 中 没有 画 出 ) 

图 保留 以 [1111]，( 卫 类) 开始 的 网 络 。 


1.2.2 因特网 增长 带 来 的 痛苦 


因为 拥有 似乎 无 限 的 IP 地 址 容量 ， 至 少 在 整个 20 世纪 80 年 代 看 来 是 这 样 的 ， 
所 以 A 类 和 B 类 网 络 就 通常 分 配给 请 求 这 些 网 络 地 址 的 单位 或 组 织 。 之 后 接收 到 网 
络 地 址 的 组 织 机 构 将 他 们 的 A 类 或 B 类 网 络 沿 字 节 边 界 在 他 们 的 组 织 内 部 进行 切 分 
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或 子 网 划分 ? 。 要 记 住 的 是 ， 每 个 “网 络 ”， 即 使 在 一 个 公司 内 部 ， 也 需要 有 一 个 唯 
一 的 网 络 号 或 前 级 来 维持 地 址 唯一 性 ， 并 维持 路 由 完整 性 。 

子 网 划分 法 为 通信 和 路 由 协议 更 新 提供 了 路 由 边界 。IP 报 文 要 穿越 的 每 个 网 络 ， 
都 要 求 有 其 自己 的 IP 网 络 号 (网络 地 址 )。 随 着 越 来 越 多 的 公司 通过 请 求 P 地 址 空 
间 ， 寻 求 加 入 到 因特网 ， 因 特 网 注册 机 构 (Internet Registries， 该 机 构 负 责 分 配 IP 地 
址 空间 ) 被 强迫 放 慢 分 配 地 址 的 速度 。 那 些 从 因特网 注册 机 构 请 求 IP 地 址 的 公司 ， 
很 快 面临 着 日 渐 紧 迫 (Stringent) 的 应 用 需求 ， 因 此 被 授权 使 用 所 请 求 地 址 空间 的 一 
部 分 ( 注 : 也 许 是 几 分 之 一 ) 。 在 不 得 已 以 较 小 网 络 地 址 块 分 配 应 对 地 址 需求 的 情况 
下 ,许多 机 构 被 迫 在 非 字 节 边界 进行 子 网 划分 。 

无 论 是 否 在 字 节 边界 实施 操作 ， 通 过 和 网 络 地 址 一 起 指派 一 个 网 络 掩 码 的 手段 ， 
子 网 划分 法 得 以 顺利 进行 。 网 络 掩 码 是 一 个 整数 ， 代 表 以 比特 表示 的 网 络 前 缀 的 长 
度 。 有 时 这 也 被 称 作 掩 码 长 度 。 例 如 ， 一 个 A 类 网 络 的 掩 码 长 度 为 8， 一 个 B 类 网 络 
的 掩 码 长 度 为 16, 一 个 C 类 网 络 的 掩 码 长 度 为 24。 采 用 本 质 上 扩展 网 络 号 长 度 (路 
由 器 在 每 条 报 文中 均 要 实施 网 络 号 长 度 的 检查 ) 的 方法 ， 就 能 够 文 持 较 大 数量 的 网 
络 ， 并 可 更 灵活 地 分 配 地 址 空间 。 这 在 图 1-5 中 进行 了 图 示 说 明 。 


| wets 
子 网 号 主机 地 址 
第 lblt mbit JETA IE 第 nbit 


图 1-5 子 网 划分 法 采用 每 个 网 络 较 少 主机 的 方法 ， 提 供 了 更 多 的 “网 络 ” 


路 由 器 需要 以 这 个 掩 码 长 度 为 它们 所 服务 的 每 个 子 网 进行 配置 。 这 就 使 这 些 路 由 
器 能 够 对 IP 地 址 实施 “ 掩 码 ”， 例 如 ， 仅 输出 所 指明 的 网 络 ， 并 在 32bit IP 地 址 内 部 
对 各 比特 进行 子 网 划分 ， 从 而 在 不 依赖 于 地 址 类 别 的 条 件 下 ， 就 能 够 进行 高 效 的 路 由 
操作 。 依 据 这 个 扩展 的 网 络 号 ， 该 路 由 器 能 够 相应 地 对 报 文 进 行路 由 。 

网 络 地 址 和 掩 码 长 度 最 早 是 以 点 分 十 进 制 表 示 法 指定 32bit 掩 码 的 做 法 加 以 表示 
的 。 这 种 表示 法 是 如 下 得 到 的 : 将 一 个 32bit 数 的 前 nbit 分 别 设 置 为 1， 剩 下 的 32 - 
nbit 分 别 设置 为 0， 之 后 将 得 到 的 32bit 转换 为 点 分 十 进 制 。 

例如 ， 为 表示 一 个 19bit 长 的 网 络 掩 码 ， 可 做 如 下 步骤 操作 : 

1) 产生 32bit 数 ， 有 19 个 1 和 13 个 0: 11111111 11111111 11100000 00000000。 

2) 将 之 分 隔 成 字 节 : 11111111. 11111111. 11100000. 00000000。 

3) 转换 为 点 分 十 进 制 数 : 255. 255. 224.0, 

例如 ， 采 用 这 个 19bit 掩 码 的 172. 16. 168. 0 网 络 表示 为 172. 16. 168. 0/255. 255. 224.0, 

谢 天 谢 地 ， 这 种 方法 被 一 种 比较 简单 的 表示 法 所 替代 : 现在 带 有 网 络 地 址 的 掩 码 


O “ 子 网 划分 ”(subnet) 术语 在 本 章 上 下 文中 频繁 地 被 用 作 一 个 动词 ， 指 产生 一 个 子 网 的 动作 或 行为 。 
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表示 为 《网络 地 址 )/( 掩 码 长 度 )。 虽 然 这 种 表示 法 阅读 理解 起 来 比较 容易 ， 但 这 并 
不 能 使 我 们 省 掉 等 价 的 二 进 制 练习 ! 例如 ，B 类 网 络 172. 16.0.0 将 被 表示 为 
172. 16.0.0/16, “/16” (#4016) 指明 前 16bit， 在 这 种 情形 中 是 前 两 个 字 节 ， 表 示 


ETIES 


下 面 是 这 个 网 络 的 二 进 制 表示 : 


网 络 地址 


网 络 前 级 


本 地 地 址 


172. 16. 0. 0/16 


10101100 00010000 


00000000 00000000 


我 们 使 用 一 个 19bit 的 掩 码 ， 对 这 个 网 络 进行 子 网 划分 。 将 点 分 十 进 制 表示 扩展 


成 二 进 制 表示 : 
网 络 地 址 


网 络 前 级 


子 网 本 地 地 址 


172. 16. 0. 0/19 

172. 16. 32. 0/19 
172. 16. 64. 0/19 
172. 16. 96. 0/19 
172. 16. 128. 0/19 
172. 16. 160. 0/19 
172. 16. 192. 0/19 
172. 16. 224. 0/19 


10101100 00010000 
10101100 00010000 
10101100 00010000 
10101100 00010000 
10101100 00010000 
10101100 00010000 
10101100 00010000 
10101100 00010000 


00000000 00000000 
00100000 00000000 
01000000 00000000 
01100000 00000000 
10000000 00000000 
10100000 00000000 
11000000 00000000 
11100000 00000000 


注意 B 类 网 络 比特 是 在 网 络 前 级 列 之 下 以 斜体 表示 的 ， 在 子 网 列 中 我 们 以 较 粗 
的 黑 斜 体 突 出 显示 了 子 网 比特 。 使 用 这 3bit 的 子 网 掩 码 ， 我 们 有 效 地 将 网 络 号 从 
16bit 扩展 到 19bit。 按 照 上 述 突出 显示 的 子 网 比特 ， 将 这 3bit 的 二 进 制 数值 从 [000], 
增加 到 [111],， 这 样 ， 我 们 就 可 使 用 这 3bit 的 子 网 掩 码 扩展 ， 得 到 2 = 8 个 子 网 。 
之 后 ， 可 对 路 由 需 进 行路 由 配置 ， 使 用 前 19bit 识别 地 址 的 网 络 部 分 ， 方 法 是 对 服务 
相应 掩 码 长 度 子 网 的 路 由 器 进行 配置 ， 例 如 172. 16. 128. 0/19， 之 后 使 路 由 器 通过 路 
由 协议 传播 到 这 个 网 络 的 可 达 性 信息 。 称 为 可 变 长 度 子 网 掩 码 (Variable Length Sub- 
net Masking，VLSM) 的 这 种 技术 正在 日 渐变 成 流行 的 常用 方法 ， 它 有 助 于 在 一 个 组 
织 机 构 内 部 将 尽 可 能 多 的 卫 地 址 容量 从 指派 的 地 址 空间 中 释放 出 来 。 

E IP 存在 的 前 一 二 十 年 中 ， 两 层 网 络 / 子 网 模型 运行 得 很 好 。 但 是 ,在 20 世纪 
90 年 代 早期 ,对 IP 地 址 的 需求 持续 地 迅猛 增长 ， 有 越 来 越 多 的 公司 期 望 得 到 IP 地 址 
空间 ， 以 发 布 网 站 。 如 果 按 照 当时 的 使 用 速率 ,预计 在 世纪 之 交 之 前 地 址 空间 就 会 消 
FE! 因特网 使 用 指导 组 织 ， 即 因特网 工程 任务 组 (IETF) 果断 地 实施 了 两 项 关键 
策略 来 扩展 IP 地 址 的 可 使 用 寿命 ， 即 支持 私有 地 址 空间 [ 终 版 RFC 1918 (7) ] 和 无 
类 域 间 路 由 [CIDR，RFC 1517-1519 (参考 文献 [4-6])] 。 在 这 个 时 间 段 ，IETT 也 
开始 对 拥有 巨大 地 址 空间 的 IP 新 版 本 展开 工作 ， 即 IPv6 (IP 版 本 6) ， 对 此 我 们 将 在 
下 一 章 进 行 讨论 。 


1.2.3 私有 地 址 空间 
回顾 一 下 我 们 的 论断 ， 即 为 了 维持 地 址 唯一 性 和 路 由 完整 性 ， 在 一 个 组 织 机 构 内 
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部 的 每 个 “网 络 ” 都 需要 有 一 个 唯一 的 网 络 号 或 前 级 。 随 着 越 来 越 多 的 组 织 机 构 连 
接 到 因特网 上 ， 因 特 网 成 为 黑客 们 渗透 组 织 机 构 网 络 的 一 个 极 可 能 被 利用 的 工具 。 许 
多 机 构 实 施 防火 墙 ， 基于 有 关 IP 首部 值 的 特定 准则 来 过 滤 IP 报 文 ， 例 如 源 地 址 或 目 
的 地 址 、UDP 或 TCP 以 及 其 他 信息 。 这 就 防护 了 “内 部 ”地 址 空间 和 “外 部 ”地 址 
空间 之 间 IP 地 址 空间 的 分 隔 ， 这 种 做 法 与 IETF 内 部 的 地 址 预 留 工 作 非 常 好 地 配合 
起 来 。 

IETF 发 布 了 多 个 RFC 修订 稿 ， 使 RFC 1918 成 为 一 个 标准 文档 ， 它 将 如 下 网 络 地 
址 集合 定义 为 “私有 的 ”。 

1) 10. 0. 0. 0 ~ 10. 255. 255. 255 (10/8 网 络 ) 一 一 等 价 于 1 个 A 类 。 

2) 172. 16. 0. 0 ~ 172. 31. 255.255 (172. 16/12 网 络 ) 一 -等 价 于 16 个 B 类 。 

3) 192. 168. 0. 0 ~ 192. 168. 255. 255 (192. 168/16 网 络 ) 一 一 等 价 于 1 个 B 类 或 
256 个 C 类 。 

“私有 的 ”这 个 术语 意味 着 这 些 地 址 在 因特网 上 是 不 可 路 由 的 。 但 是 ， 在 一 个 组 
织 机 构 内 部 ， 这 些 地 址 可 被 用 于 在 内 部 网 络 上 路 由 全 流量。 因此， 我 的 笔记 本 计算 
机 被 分 配 一 个 私有 IP 地 址 ， 我 能 够 向 我 的 同事 们 发 送 电 子 邮 件 ， 他 们 也 有 私有 地 址 。 
本 质 上 而 言 ， 我 所 在 的 机 构 定 义 了 一 个 私有 因特网 ， 有 时 该 网 络 被 称 为 一 个 内 联网 。 
位 于 我 所 在 机 构 内 部 的 路 由 器 可 配置 成 : 在 所 分 配 私有 P 网 络 间 实施 路 由 ， 在 这 些 
网 络 间 的 卫 流量 永 不 会 到 达 因 特 网 。 
因为 我 正在 使 用 一 个 私有 IP 地址， 在 本 机 构 外 部 的 某 个 人 ， 他 在 防火 墙 之 外 ， 
是 不 能 直接 到 达 我 的 笔记 本 计算 机 的 。 处 于 外 部 网 络 的 任何 人 ， 他 发 送 在 人 P 首部 
以 我 的 私有 地 址 作为 目的 地 址 的 报 文 ， 该 报 文 都 将 不 能 到 达 我 的 计算 机 ,原因 是 因 
特 网 路 由 器 不 会 路 由 这 些 报 文 。 但 是 ， 如 果 我 希望 在 外 部 通过 因特网 发 起 一 条 连接 ， 
目的 是 查验 我 在 股票 市 场 上 将 损失 多 少 钱 时 ， 该 怎么 办 呢 ? 对 于 要 求 接 入 到 因特网 的 
雇员 而 言 ， 普 遍 采 用 有 具有 网 络 地 址 转换 (NAT) 功能 的 防火 墙 来 将 一 个 企业 用 户 的 
私有 IP 地址 转换 为 一 个 公开 的 或 可 路 由 的 了 P 地 址 (该 地 址 是 从 企业 的 公开 地 址 空间 
取得 的 ) 。 

典型 的 NAT 设备 提供 地 址 池 功 能 ， 它 将 相对 少量 的 公开 可 路 由 ( 非 私 有 的 ) IP 
地 址 放 在 地 址 池 中 ， 以 动态 方式 为 偶尔 访问 因特网 的 大 量 雇员 所 使 用 。NAT 设备 将 
两 条 IP 连接 桥接 在 一 起 : 内 部 到 NAT 设备 的 通信 使 用 私有 地 址 空间 ， 而 NAT 设备 到 
因特网 的 通信 使 用 公开 P 地 址 。NAT 设备 负责 跟踪 记录 内 部 雇员 地 址 到 外 部 使 用 的 
公开 地 址 之 间 的 映射 关系 。 

这 在 图 1-6 中 进行 了 形象 展示 ， 其 中 内 部 网 络 使 用 10/8 地 址 空间 ， 外 部 或 公开 
寻 址 则 使 用 192. 0. 2. 0/24 地 址 空间 。 依 据 该 图 ， 如 果 我 的 笔记 本 计算 机 的 他 地 址 是 
10. 1. 0. 1 ， 则 我 可 通过 内 部 IP 网 络 与 使 用 卫 地 址 10. 2. 0. 2 的 我 的 同事 进行 通信 。 当 
我 访问 因特网 时 ， 为 了 将 我 的 私有 地 址 10.1.0.1 映射 到 一 个 公开 地 址 (例如 


”从 技术 角度 来 说 ,采用 因特网 上 的 虚拟 专用 网 (VPN) 或 隧道 ， 带 有 私有 地 址 的 流量 可 穿越 因 特 
网 ， 但 在 两 端 接 入 因特网 的 隧道 端点 却 需要 使 用 公开 IP 地 址 。 
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192. 0.2. 108), ， 则 我 的 报 文 需 
要 通过 防火 墙 /NAT 设备 进行 路 
由 。 在 NAT 设备 中 维护 脆 射 状 oro YP. 
态 ， 它 修改 也 首部 ， 执 行 的 操 
作 是 : 针对 送出 报 文 使 用 
192. 0. 2. 108 替换 10. 1. 0.1， 针 
对 进入 报 文 ， 则 执行 反 向 圭 换 。 10202 
从 寻 址 容量 需求 角度 来 看 ， 
我 所 在 机 构 仅 需要 是 够 的 了 地 图 1-6 NAT 的 使 用 范例 : 将 私有 地 址 映射 到 公开 地 址 
址 来 支持 这 些 特 定 的 互联 网 到 
i 
内 部 路 由 器 和 外 部 路 由 器 、 服 务 器 和 主机 都 要 配置 地 址 的 IP 地 址 空间 需求 而 言 ， 这 
个 数量 通常 要 小 得 多 。 因 为 企业 要 求 的 是 远 小 得 多 的 公开 地 址 空间 ， pea aie 
间 的 实施 ， 就 极 大 地 降低 了 对 地 址 空间 容量 的 压力 。 


防火 墙 /NAT 设 备 
地 址 映射 


10.1.0.149 192.0.2.108 


13 无 类 别 寻 址 


延长 IPv4 寿命 旦 投入 实施 的 第 二 项 策略 是 CIDR 的 实施 ， 它 极 大 地 提高 了 网 络 分 
配 的 效率 。 可 变 长 度 子 网 掩 码 法 允许 在 非 字 节 边 界 对 一 个 有 类 别 网 络 实施 子 网 划分 ， 
和 这 种 做 法 类 似 ，CIDR 支持 基础 地 址 块 〈 由 一 个 区 域 因特网 注册 机 构 (RIR) RA 
特 网 服务 提供 商 (ISP) 分 配 的 ) 的 网 络 前 级 变化 的 情况 。 因 此 ， 如 四 个 C 类 (/24) 
组 成 的 一 个 连续 组 可 被 组 合 为 单一 (/22) 网 络 ， 分 配给 一 个 因特网 服务 提供 商 。 图 
1-7 对 此 进行 了 说 明 。 如 果 如 图 1-7 所 示 的 四 个 连续 块 172. 16. 168.0/24 ~ 
172. 16. 171. 0/24 可 用 于 分 配 的 话 ， 那 么 它们 可 作为 单一 (/22) 网 络 进行 分 配 ， 即 
172. 16. 168. 0/22, 


172.16.168.0/22 ~ 四 | 个 本 地 地 址 


noa: SERRE COENEN rT 


Al 1-7 CIDR 分 配 范例 


注意 较 黑 阴影 比特 表示 网 络 号 ， 即 前 22bit， 在 所 有 四 个 组 成 网 络 上 是 相同 的 。 
剩 下 的 10bit 表示 可 用 于 主机 分 配 的 本 地 地 址 空间 。 因 为 网 络 地 址 是 以 本 地 地 址 字段 
为 全 0 表示 的 ， 所 以 /22 网 络 是 以 起 始 的 比特 串 标记 的 ， 即 172. 16. 168. 0/22 。 如 您 
所 看 到 的 ， 在 非 字 节 边 界 上 计算 网 络 地 址 所 要 求 的 十 进 制 到 二 进 制 算术 运算 方面 ， 
CIDR 是 非常 类 似 于 VLSM 的 。 在 非 字 节 边界 掩 码 之 外 ， 针 对 本 地 地 址 填充 0 的 附加 
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步 又 ， 有 可 能 引入 错 
了 出 现 错 误 的 机 会 


划分 。 


IRo Ah, a VLSM 应 月 


HAJ CIDR 分 配 的 做 法 ， 又 进一步 增加 


。 但 正如 通常 的 情况 一 样 ， 要 得 到 更 多 的 灵活 性 ， 就 要 付出 代价 。 
CIDR 和 VLSM 扫除 了 网 络 类 


1.4 特殊 用 途 地 址 


别 造成 的 障碍 ， 


H 


从 而 提供 


了 真正 灵活 


的 网 络 分 配 和 子 网 


除了 私有 空间 外 ， 针 对 特殊 目的 或 归档 (documentation) 的 需求 ， Bama TH 
些 部 分 的 IPv4 地 址 空间 。 这 种 IPv4 地 址 分 配 包 括 预 留 特殊 用 途 的 卫 地 址 ， 这 在 下 面 
汇总 给 出 ， 是 在 RFC 3330“ 定义 的 ， 在 RFC 5735” 中 作 了 更 新 〈 修 改 ) 。 
地 址 空间 特殊 用 途 
0. 0. 0. 0/8 “这 个 (本 ) ”网 络 ;0. 0.0.0/32 表示 在 这 个 (本 ) 网络 上 的 这 台 主 机 
私有 卫 地址 空间 ,依据 RFC 1918 ,该 空间 中 的 地 址 在 公开 因特网 上 是 不 可 
10. 0. 0. 0/8 
路 由 的 
127. 0. 0.0/8 被 指派 用 作 因 特 网 主机 回环 地 址 , 即 127. 0. 0. 1/32 
ieo asan oie at 于 IPv4 自动 配置 ,该 地 址 的 目的 是 在 单条 链 路 上 进 
行 通信 
ALA IP 地址 空间 ,依据 RFC 1918 ,该 空间 中 的 地 址 在 公开 因特网 上 是 不 可 
172. 16. 0. 0/12 
路 由 的 
192. 0. 0. 0/24 保留 ,用 于 IETF 协议 指派 
192. 0. 2. 0/24 指派 为 “Test- Net-1”, 用 于 文档 和 样 例 代 码 
192. 88. 99. 0/24 分 配 用 作 6to4 中 继任 意 播 地 址 (第 17 章 对 此 进行 了 详细 讨论 ) 
ALA IP 地 址 空间 ,依据 RFC 1918 ,该 空间 中 的 地 址 在 公开 因特网 上 是 不 可 


192. 168. 0. 0/16 


路 由 的 
198. 18. 0. 0/15 分 配 用 于 网 络 互 连 设备 的 基准 测试 
198. 51. 100. 0/24 指派 为 “Test- Net-2”, 用 于 文档 和 样 例 代码 
203. 0. 113. 0/24 指派 为 “Test- Net-3” ,用 于 文档 和 样 例 代码 
224. 0. 0. 0/4 分 配 用 于 IPv4 组 播 地 址 指派 (以 前 的 D 类 地 址 空间 ) 
240. 0. 0. 0/4 保留 ,用 于 未 来 用 途 ( 以 前 的 类 地 址 空间 ) 


255. 255. 255. 255/32 


在 一 条 链 路 上 的 受 限 广播 
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2.1 引言 


在 20 世纪 90 年 代 早 期 ， 因 特 网 被 疯狂 地 用 作 最 流行 的 全 球 通信 工具 ， 使 世界 范 
围 内 的 组 织 机 构 都 涌 向 因特网 注册 机 构 ， 请 求 耻 地 址 空间 。 耳 地 址 空间 需求 上 的 这 
次 冲击 波 ， 促 使 仿照 了 IETF， 因 特 网 工程 和 标准 组 织 定义 了 新 版 本 的 因特网 协议 , 
a id T 可 满足 当时 以 及 可 预期 未 来 的 地 址 需求 。 如 第 
1 章 所 讨论 的 ， 诸 如 CIDR 和 私有 地 址 空间 等 技术 的 采用 ， 有 助 于 消除 公开 地 址 空间 
。 可 预料 这 些 措施 仅 延 长 了 IPv4 地 址 空间 可 使 用 的 时 间 ， 即 延长 
10 年 左右 。 

IPv4 地 址 空间 的 可 用 量 持续 减少 〈( 即 剩 下 的 地 址 越 来 越 少 ) ， 每 个 区 域 因特网 注 
册 机 构 (RIR) 不 厌 其 烦 地 向 因特网 共同 体 发 出 通告 ， 即 可 使 用 的 IPv4 空间 是 有 限 
的 ， 并 将 在 “ 数 年 ”内 被 用 光 。RIR 负责 向 因特网 服务 提供 商 分 配 IP 地 址 ， 接 下 来 
因特网 服务 提供 商 向 企业 、 服 务 提供 商 和 任何 需要 IP 地 址 空间 的 组 织 机 构 分 配 空间 。 
最 终 ， 地 址 耗 尽 的 后 果 将 影响 需要 公开 IP 地 址 空间 的 机 构 。 各 位 看 到 ， 微 软 的 
Vista™ | Win7 和 Server2008 等 产品 都 默认 地 支持 IPv6。 随 着 采用 Vista 或 Win7 ，IPv6 
也 许 比 人 们 想象 得 要 更 早 到 来 ， 不 管 你 喜欢 与 否 ， 它 都 将 到 来 ! 


IP es P RINA 
图 2-1 首部 和 报 文 概念 中 的 IP 通用 部 分 


IPv6 (因特网 协议 版 本 69) 是 从 IPv4 (因特网 协议 版 本 4) 演化 发 展 而 来 的 ， 
但 本 质 上 是 与 IPv4 不 兼容 的 。 第 15 章 描 述 了 (1IPv6 与 IPv4 的 ) 几 项 迁移 和 共存 技 
术 。IPv6 的 主要 目标 是 ， 基 于 IPv4 过 去 20 年 的 经 验 ， 从 根本 上 重新 设计 IPv4。 在 过 
去 数 年 中 ， 添 加 到 IPv4 协议 族 的 真实 应 用 支持 能 力 ， 从 IPv6 设计 一 开始 就 进行 了 考 
虑 。 这 包括 对 安全 、 组 播 、 移 动 性 和 自动 配置 的 支持 。 

从 IPv4 演化 发 展 到 IPv6 过 程 中 ， 最 引 人 注 目的 差异 是 对 IP 地 址 字段 长 度 的 极 大 
扩展 。IPv4 使 用 一 个 32bit 的 IP 地 址 字段 ，IPv6 则 使 用 一 个 128bit 的 IP 地 址 字段 。 
一 个 32bit 地 址 字段 提供 最 多 2” 个 地 址 或 42 亿 个 地 址 。 一 个 128bit 地 址 字段 提供 2” 
个 地 址 或 340 万 亿 万 亿 万 亿 (340 x10%) 个 地 址 或 340undecillion”(3.4 x10”) 个 地 


O 了 PP (IP WAS) 从 来 就 没有 作为 IP 的 一 个 官方 版 本 加 以 实施 。 在 IP 首部 中 的 版 本 号 “5” 被 指 
派 为 表示 携带 所 谓 ST (因特网 流 协议 ) 的 一 个 试验 实时 流 协议 的 报 文 。 如 果 要 更 多 了 人 解 ST， 请 
参见 RFC 1819 (169), 

钙 ” 我 们 使 用 美国 方式 对 undecillion 的 定义 即 1036 ， 而 不 是 英国 方式 的 10%。 
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址 。 为 了 给 这 个 极其 庞大 的 数字 提供 形象 描述 ， 考 虑 如 下 这 个 数量 的 全 地 址 。 

1) 假定 地 球 上 有 65 亿 个 人 ， 则 每 个 人 平均 有 5 x 10" 7 IP Heth. 

2) 地 球 表面 平均 每 平方 英寸 有 4.3 x10” 个 IP HOHE 

3) 到 达 距 离 我 们 250 万 光 年 的 最 近 星 系 一 一 仙女 座 的 距离 上 平均 每 纳米 有 约 
1400 万 个 JP 地址 。 

就 像 IPv4 一 样 ， 由 于 子 网 分 配 的 低 效 ， 并 不 是 每 个 地 址 都 一 定 会 是 有 用 的 ， 但 
考虑 浪费 数 个 地 址 也 不 会 具有 太 大 影响 。 除 了 IP 地址 的 这 个 似乎 无 限 数量 外 ， 在 
IPv6 和 IPv4 之 间 存 在 许多 相似 点 。 例 如 ， 从 基本 层面 看 ， 就 报 文 首部 和 内 容 的 概念 
( 见 图 2-1) 而 言 ， 和 JIPv4 —FR, “IP 报 文 ”这 个 概念 也 同样 适用 于 IPv6 ， 其 他 的 基 
本 概念 如 协议 分 层 、 报 文 路 由 以 及 CIDR 分 配 等 也 是 如 此 。 在 本 章 中 ， 我 们 将 焦点 放 
在 所 定义 的 IPv6 地 址 的 种 类 方面 ， 在 下 一 章 讨论 IPv6 子 网 划分 和 分 配 技术 。 


2.1.1 IPv6 关键 功能 特征 


作为 IPv4 的 演化 发 展 结果 ，IETF 尝试 开发 I Pv6。 从 IPv4 到 IPv6 迁移 过 程 中 的 演 
化 发 展 策略 的 目的 是 ， 使 IPv6 能 够 提供 许多 新 的 功能 特征 ， 而 同时 构建 于 使 IPv4 如 
此 成 功 的 基础 概念 之 上 。IPvw6 的 主要 功能 特征 包括 如 下 内 容 。 

1) 扩展 的 寻 址 方式 。 为 了 改善 扩展 性 ，128bit 层次 化 地 指派 带 有 地 址 范围 (本 
地 链 路 范围 以 及 全 局 范围 ) 。 

2) 路 由 。 严 格 层 次 化 的 路 由 ， 支 持 路 由 汇聚 。 

3) 性 能 。 简 单 的 〈 不 可 靠 的 、 无 连接 的 ) 数据 报 文 服务 。 

4) 扩展 能 力 。 新 的 灵活 的 扩展 首部 ， 为 新 的 首部 类 型 和 更 加 高 效 的 路 由 提供 了 
固有 的 扩展 能 
5) 多 媒体 。 流 标签 首部 字段 有 利于 实现 服务 质量 (QoS) 支持 。 

6) 组 播 。 替 换 广播 ， 并 是 必 选 的 。 

7) 安全 。 固 有 的 认证 鉴 权 和 加 密 。 

8) 自动 配置 。IP 设备 可 执行 无 状态 地 址 自 配 置 和 有 状态 地 址 自 配 置 。 

9) 移动 能 力 。 提 供 移 动 IPv6 支持 。 


2.1.2 IPv6 首部 


IPv6 首部 结构 布局 如 图 2-2 所 示 。 虽 然 源 IP 地 址 字段 和 目的 地 P 地 址 字段 的 长 
度 都 四 倍 于 IPv4 地 址 字段 长 度 ， 但 总 的 卫 首 部 长 度 仅 是 IPv4 首部 长 度 的 两 倍 。IPv6 
首部 中 的 各 字段 如 图 2-2 所 示 。 

1) 版 本 (Version) 。 因 特 网 协议 版 本 ， 在 这 种 情况 下 是 6。 

2) 流量 类 别 (Traffic Class) 。 这 个 字段 替换 了 IPv4 的 服务 类 型 /DS 首部 字段 ， 
为 请 求 路 由 处 理 而 指明 流量 的 类 型 或 优先 级 。 

3) 流标 签 (Flow Label) 。 标 识 这 个 报 文 所 属 的 一 个 源 和 目的 地 之 间 流 量 “ 流 ” 
(由 源 设 定 ) 。 这 样 做 的 意图 是 ， 支 持 一 个 给 定 通信 会 话 内 部 (例如 在 一 个 实时 传输 
以 及 一 个 尽力 而 为 数据 传输 内 部 的 那些 会 话 ) 针对 报 文 的 高 效 和 一 致 的 路 由 处 理 。 


cay 
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4) itr ik BE (Payload Obit 34 11 12 31 
Length) 。 指 明 IPv6 净 荷 的 长 流量 类 别 流标 从 
度 ， 即 在 基本 IPv6 首部 之 后 pt 
的 报 文部 分 ， 是 以 字 节 为 音 
位 表示 的 。 如 果 包 括 扩展 首 
部 的 话 ， 那 么 扩展 首部 被 看 | 
做 兆 荷 的 组 成 部 分 ， 并 被 计 e 
算 在 这 个 长 度 参数 之 内 。 

5) 下 一 首部 ( Next 
Header) 。 这 个 字段 指明 这 个 


IP 首部 后 跟 的 首部 类 型 。 可 ensures 
能 是 一 个 高 层 协议 首部 (fil 128bit 


如 TCP、ICMPv6 (因特网 控 
制 报 文 协议 版 本 6) 等 ) 或 
一 个 扩展 首部 。 仅 当 源 路 由 、 
分 段 、 选 项 以 及 与 该 报 文 相 关 的 其 他 参数 为 必要 情况 下 ， 扩 展 首部 概念 才 明 确 指定 ， 
而 不 是 像 在 IPv4 中 一 样 作 为 所 有 报 文 上 的 额外 负担 。 

6) BKB (Hop Limit), WMF IPv4 TTL (生存 时 间 ) 字段 ， 这 个 字段 指定 在 
该 报 文 被 丢弃 之 前 可 能 穿越 的 跳 数 。 在 转发 该 报 文 时 ， 每 个 路 由 器 将 这 个 首部 字段 的 
数值 减 1。 

7) W IP HELE (Source IP Address)。 这 条 报 文 发 送 者 的 IPv6 地 址 。 

8) 目的 地 全 地 址 (Destination IP Address)。 这 条 报 文 预 期 接收 者 (可 能 是 多 个 
接收 者 ) 的 IPv6 地 址 。 


2.1.3 IPv6 Stk 


定义 了 三 种 类 型 的 IPv6 地 址 。 和 IPv4 中 的 情况 一 样 ， 这 些 地 址 是 应 用 到 接口 的 ， 
而 不 是 应 用 到 节点 的 。 因 此 ， 带 有 两 个 接口 的 一 台 打 印 机 将 可 由 它 的 任 一 接口 寻 址 。 
可 通过 任 一 接口 到 达 该 打印 机 ， 但 该 打印 机 节点 本 身 ? 并 没有 一 个 P 地 址 。 当 然 ， 对 
于 尝试 访问 一 个 节点 的 终端 用 户 而 言 ，DNS 通过 使 一 个 主机 名 (hostname) 映射 到 一 
个 或 多 个 接口 地 址 ， 就 能 够 隐藏 这 个 微妙 差异 。 

1) 单 播 ” 单 一 接口 的 卫 地 址 。 这 类 似 于 一 个 了 下 主机 地 址 的 常见 解释 (GE 
播 / 非 广播 的 /32 IPv4 地 址 ) 。 

2) 任意 播 。 用 于 一 组 接口 (通常 属于 不 同 节点 ) 的 一 个 卫 地 址 ， 任 何 一 个 接 
口 都 是 报 文 的 预期 接收 者 。 目 的 地 为 一 个 任意 播 地 址 的 一 条 报 文 ， 被 路 由 到 配置 了 该 


图 2-2 IPv6 HRBU] 


O 本章 的 介绍 性 章节 主要 参考 了 文献 [11] 第 2 章 的 资料 。 
O 许多 路 由 器 和 服务 器 产品 ， 通 过 一 个 软件 回环 地 址 ， 支 持 一 个 “设备 (Box) 地 址 ”的 概念 。 不 
要 与 127.0.0.1 或 :: 1 回环 地 址 相 混淆 ， 这 个 回环 地 址 支持 到 任 一 设备 接口 的 可 达 性 。 
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组 播 地 址 的 最 近 距 离 的 接口 (依据 路 由 表 度 量 指标 衡量 ) 。 这 里 的 理念 是 ， 发 送 者 不 
必 关 心 那 台 特 定 主机 或 接口 接收 该 报 文 ， 但 是 确实 是 共享 该 任意 播 地 址 的 那些 主机 或 
接口 接收 了 这 条 报 文 。 任 意 播 地 址 是 从 单 播 地 址 分 配 的 相同 地 址 空间 中 分 配 的 。 因 
此 ， 人 们 不 能 从 表面 上 在 一 个 单 播 地 址 和 一 个 任意 播 地 址 之 间 做 出 区 分 。 在 提供 类 似 
的 到 预期 所 使 用 服务 (例如 针对 DNS 服务 器 ， 使 用 一 个 共享 的 单 播 IPv4 地 址 ) 的 最 
近 路 由 方面 ， 任 意 播 在 IPv4 网 络 中 最 近 产 生 了 争议 。 在 简化 客户 端 配置 (不 管 客户 
端 连接 到 所 在 网 络 的 哪 一 部 分 ) ， 使 客户 端 总 是 使 用 相同 [任意 播 ] IP 地 址 查询 一 台 
DNS 服务 器 方面 ， 这 种 做 法 提供 了 便利 。 在 第 11 章 中 我 们 将 讨论 使 用 任意 播 地 址 的 
DNS 部 署 。 

3) 组 播 。 一 组 接口 (典型 情况 下 属于 不 同 节点 ) 的 一 个 PP 地址， 所 有 节点 都 
是 报 文 的 预期 接收 者 。 这 当然 类 似 于 IPv4 组 播 。 不 像 IPv4 的 是 ，IPv6 不 支持 广播 。 
相对 而 言 ， 在 IPv4 中 使 用 广播 的 应 用 ， 例 如 DHCP， 在 IPv6 中 使 用 组 播 到 一 个 周知 
( 即 预 定义 的 ) DHCP 组 播 组 地 址 的 方法 。 

一 个 设备 接口 可 能 具有 任何 地 址 类 型 或 所 有 地 址 类 型 的 多 个 TP 地 址 。IPv6 也 定 
义 了 了 IP 地址 的 一 个 链 路 本 地 范围 ， 来 唯一 地 标识 连接 到 一 条 特定 链 路 (例如 一 个 
LAN ( 局域网) ) 的 各 个 接口 。 例 如 ， 可 在 每 个 站 点 或 每 个 机 构 范 围 内 ， 从 管理 角度 
定义 附加 的 地 址 范围 ， 我 们 将 在 本 章 后 面 讨论 这 一 点 。 


2.1.4 地址 表示 法 


回顾 一 下 ，IPv4 地 址 是 以 点 分 十 进 制 格式 表示 的 ， 其 中 32bit 的 地 址 被 分 成 四 个 
8bit 段 ， 每 个 段 转换 成 十 进 制 数 ， 之 后 以 “点 ”分 隔 。 如 果 你 认为 记忆 四 个 十 进 制 数 
的 一 个 串 是 困难 的 ， 那 么 IPv6 将 会 使 你 有 点 苦 不 堪 言 。IPv6 地 址 不 是 以 点 分 十 进 第 
表示 法 表述 的 ， 它 们 是 使 用 一 个 冒号 分 隔 的 十 六 进 制 格 式 加 以 表示 的 。 首 先 从 比特 级 
别 开 始 分 ，128bit IPv6 地 址 被 分 成 八 个 16bit 段 ， 每 个 段 被 转换 为 十 六 进 制 ， 之 后 以 
冒号 分 隔 。 每 个 十 六 进 制 “数字 ”表示 4bit， 转 换 规则 依据 为 ， 每 个 十 六 进 制 数字 
(O~F) 到 其 4bit 二 进 制 数值 的 映射 如 下 所 示 。 每 个 十 六 进 制 对 应 于 具有 如 下 可 能 类 
值 的 4bit。 


= 


0 =0000 4=0100 8=1000 C=1100 
1=0001 5=0101 9=1001 D=1101 
2=0010 6=0110 A=1010 E=1110 
3=0011 7=0111 B=1011 F=1111 
在 将 一 个 128bit IPv6 HAEA it tll FERN TNE A Js, ATT NS a ati 
数字 归 为 一 组 ， 并 以 冒号 将 它们 分 隔 开 。 我 们 使 用 名 词 “ 尼 伯 ” (nibble) (0 
个 十 六 进 制 数字 或 16bit 的 分 组 ; 因此， 我 们 得 到 八 个 由 冒号 分 隔 的 尼 伯 数值 ， 产 4 
看 起 来 如 图 2-3 所 示 的 一 个 IPv6 地 址 。 
在 IPv4 中 ， 要 处 理 四 个 十 进 制 数值 ， 相 互 之 间 以 点 分 隔 ， 每 个 数值 在 0 ~255 之 


= 


E 


tt 


© 尼 伯 (nibble)， 本 书 中 和 常用 的 含义 (通常 指 4 个 二 进 制 数 ) 不 同 。 一 一 译 者 注 
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... 00... 000 本 和 00001000 00000001 


2 0 01 0D B8 5 F 62 AB 4 1 0000000000000 8 0 1 
2001:0DB8:5F62:AB41:0000:0000:0000:0801 


到 2-3 IPv6 地 址 : 二进制 转换 为 十 六 进 制 [11 


间 ， 与 此 不 同 的 是 ，IPv6 地 址 由 多 达 八 个 十 六 进 制 数值 组 成 ， 由 冒号 分 隔 ， 每 个 数值 
在 0 ~FFFT 之 间 。 当 书写 IPv6 地 址 时 ， 有 两 种 可 接受 的 缩写 形式 。 第 一 种 形式 是 ， 
在 一 个 尼 伯 分 段 内 部 ， 即 冒号 之 间 的 前 导 零 可 被 去 掉 。 因 此 ， 上 述 地 址 可 缩写 为 : 
2001: DB8: 5F62: AB41: 0: 0: 0: 801 

缩写 的 第 二 种 形式 是 ， 使 用 双 冒 号 表示 一 个 或 多 个 连续 的 零 尼 伯 组 。 使 用 这 种 缩 

写 形式 ， 上 述 地 址 可 进一步 缩写 为 ， 
2001: DB8: 5F62: AB41 :: 801 

这 难道 不 好 得 多 了 吗 ? 注意 在 一 个 地 址 表示 内 部 仅 可 使 用 一 个 双 冒 号 。 因 为 在 地 
址 中 总 是 存在 八 个 尼 伯 分 段 ， 对 于 一 个 双 冒 号 表示 法 ， 人 们 可 容易 地 计算 它们 中 有 多 
少 个 为 零 ; 但 是 ， 对 于 一 个 以 上 的 双 冒 号 ， 就 将 存在 二 义 性 问题 。 

考虑 地 址 2001: DB8: 0: SOFA: 0: 0: 0: BS, 我们 可 将 这 个 地 址 缩写 为 . 

2001: DB8 :: 56FA: 0; 0; 0: B5 或 2001: DB8: 0; 56FA :: B5 

我 们 可 容易 地 计算 出 ， 在 第 一 种 情形 中 ， 双 冒号 表示 一 个 尼 伯 (总 的 8 个 尼 伯 减 
去 如 图 2-3 所 示 的 7 个 尼 伯 ) ， 在 第 二 种 表示 法 中 ， 双 冒号 表示 3 个 尼 伯 (总 的 8 个 
尼 伯 减 去 如 图 2-3 所 示 的 5 个 尼 伯 ) 。 如 果 我 们 尝试 将 这 个 地 址 缩写 为 2001 : DB8 : : 
56FA:: B5 ， 则 我 们 不 能 无 二 义 性 地 对 此 解码 ， 因 为 它 可 能 表示 如 下 地 址 中 的 任何 一 
个 地 址 : 


00100000 00000001 00001101 101110000101111101100010 1010101 1 0 1000001] 


2001 ; DB8 :0:56FA ;0:0:0; BS 
2001 : DB8 :0 :0:56FA :0 :0: B5 
2001 : DB8 :0 :0:0:56FA :0; BS 

因此 ， 要 求 缩写 规则 总 是 成 立 的 ， 即 在 一 个 IPv6 地 址 中 仅 可 出 现 一 个 双 冒 号 。 


2.1.5 地 址 结构 
如 图 2-4 所 示 ， 将 IPv6 地 址 分 成 三 个 字段 。 


全 局 路 由 前 组 子 网 ID 接口 ID 
(nbit) (mbit) [(128—n—my)bit] 


图 2-4 IPv6 地 址 结构 [2] 


全 局 路 由 前 绥 与 一 个 IPv4 网 络 号 近似 ， 由 路 由 器 用 来 将 报 文 转发 到 本 地 服务 于 
对 应 该 前 级 的 网 络 的 路 由 器 (可 能 是 多 台 路 由 器 )。 例 如 ， 一 个 ISP 的 一 个 客户 被 指 
派 一 个 /48 长 度 的 全 局 路 由 前 级 ， 则 目的 地 为 这 个 客户 的 所 有 报 文 将 包含 对 应 的 全 局 
路 由 前 级 值 。 在 这 种 情形 中 ,依据 图 2-4，n = 48。 当 表示 一 个 网 络 时 ， 写 出 全 局 路 
由 前 级 ， 后 跟 斜 杜 ， 之 后 是 网 络 规模 大 小 ， 称 为 前 缀 长度。 假定 我 们 的 一 个 范例 IPv6 
地 址 2001: DB8: 5F62: AB41:: 801， 存 在 于 一 个 /48 的 全 局 路 由 前 级 内 部 ， 则 这 个 
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前 缀 地 址 将 被 表示 为 2001: DB8: 5F62:: /48。 和 IPv4 的 情形 一 样 ， 除 前 组 长 度 外 
带 有 零 值 比特 (在 这 种 情形 下 ， 是 bit49 ~ 128) 的 网 络 地 址 被 表示 为 终结 的 双 冒 号 。 

子 网 ID 提供 了 在 组 织 机 构 内 部 表示 特定 子 网 的 一 种 方式 。 我 们 的 拥有 一 个 /48 
前 缀 长 度 的 ISP 客户 ， 选 择 使 用 16bit 表示 子 网 ID， 这样 就 提供 了 2 或 65534 个 子 网 。 
在 这 种 情形 中 ,依据 图 2-4，m =16。 这 样 下 来 ， 留 给 接口 ID 的 就 是 (128-48-16) bit = 
64bit。 接 口 ID 表示 报 文 的 源 或 预期 接收 者 的 接口 地 址 。 这 就 和 我 们 后 面 将 讨论 的 一 样 ， 
迄今 为 止 ， 已 分 配 使 用 的 全 局 单 播 地 址 空间 要 求 一 个 64bit 的 接口 ID 字段 。 

在 将 一 个 网 络 ID (由 全 局 路 由 前 缀 和 子 网 ID 组 成 ) 与 一 个 接口 D 分 隔 (区 分 
F) 过 程 中 ， 这 种 IPv6 地 址 结构 独特 之 处 之 一 是 ,一 个 设备 可 保留 相同 的 接口 ID， 
而 不 用 管 它 连 接 到 了 哪个 网 络 ， 有 效 地 将 你 的 接口 D (“你 是 谁 ") 和 你 的 网 络 前 绥 
(“你 在 哪里 ”) 区 分 开 来 。 正 如 我 们 将 看 到 的 ， 这 种 做 法 有 利于 实现 地 址 自动 配置 ， 
虽然 它 没 有 考虑 隐私 问题 。 但 我 们 稍稍 有 点 超前 了 〈 即 过 早 地 讲 了 一 些 内 容 ) ， 所 以 
让 我 们 跳 转 回 到 宏观 层次 ， 并 考虑 迄今 为 止 由 因特网 地 址 管理 权威 〈 因 特 网 编号 管 
理 局 (IANA) ) 所 分 配 的 IPv6 地 址 空间 方面 。 


2.2 IPv6 地 址 分 配 


在 表 2-1 中 以 上 暗 灰色 突出 显示 迄今 为 止 由 IANA 分 配 的 地 址 空间 ， 并 在 接 下 来 的 
文字 中 加 以 讨论 。 这 些 地 址 分 配 代 表 的 地 址 空间 要 上 略 小 于 总 可 用 IPY6 地 址 空间 
的 14% 。 


表 2-1 IPv6 地 址 分 配 183] 


IPv6 前 级 二 进 制 形 式 IPw 空间 的 相对 尺寸 分 配 
由 IETF 保留 : “未 指派 地 址 ” 
0000: :/3 000 1/8 (::) 和 回环 地 址 ( : :1) 就 是 从 这 个 
地 址 块 中 指派 的 
2000 : :/3 001 1/8 全 局 单 播 地 址 空间 
4000; :/3 010 1/8 IETF 保留 
6000: :/3 011 1/8 IETF 保留 
8000; :/3 100 1/8 IETF 保留 
A000 ; :/3 101 1/8 IETF 保留 
C000; :/3 110 1/8 IETF 保留 
F000; :/4 1110 1/16 IETF 保留 
F000: :/5 11110 1/32 IETF 保留 
F800; :/6 1111 10 1/64 IETF 保留 
FC00::/7 1111 110 1/128 唯一 本 地 单 播 
FFE00 : :/9 1111 11100 1/512 IETF 保留 
FE80: :/10 11111 1110 10 1/1024 链 路 本 地 单 播 
FECO; :/10 1111 1110 11 1/1024 IETF 保留 
FF00: :/8 1111 1111 1/256 组 播 
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2. 2.1 ::/3 一 一 保留 地 址 


4H [000], 的 地 址 空间 目前 由 IETF 保留 。 在 这 个 地 址 空间 内 部 且 具 有 独特 
eer Ge (::) 地 址 和 回环 (::1) 地 址 。IPv6 寻 址 架构 规范 RFC 
4291 要 求 ， 除 了 在 这 个 地 址 空间 内 部 的 那些 地 址 (以 ;:/3 ( [000], 开始 ) ) 外 ， 
所 有 单 播 IPv6 地 址 都 必须 使 用 一 个 64bit 的 接口 ID 字段 ， 且 这 个 接口 ID 字段 必须 利 
用 修订 的 EUIL-642 算 法 ， 将 接口 的 层 2 地 址 或 硬件 地 址 映射 到 一 个 接口 ID。 因此， 
在 :: /3 地 址 空间 内 部 的 地 址 ， 可 具有 任意 长 度 的 接口 ID 字段 ， 这 点 不 像 除 此 之 外 
其 他 部 分 的 IPv6 单 播 地 址 空间 ， 在 其 他 部 分 的 地 址 空间 中 必须 利用 一 个 64bit 的 接口 
ID 字段 。 


2.2.2 2000:: /3 一 一 全 局 单 播 地 址 空间 


今 为 止 被 分 配 的 全 局 单 播 地 址 空间 2000;: /3 表示 了 2 或 4.25 x10” 个 全 地 

址 。 IPv6 地 址 结构 [RFC 42911] 中 定义 的 64bit 接口 ID 要 求 ， 全 局 单 播 
地 址 格式 形式 化 地 定义 为 RFC 3587" ， 如 图 2-5 所 示 。 

前 3bit 是 [001];， 指 明 是 全 局 单 播 地 址 空间 。 接 下 来 的 45bit 构成 全 局 路 由 前 

， 接 着 分 别 是 16bit 子 网 ID 和 64bit 的 接口 DD。 当前 的 指导 准则 呼吁 各 ISP 将 /48 型 
网 络 分 配给 他 们 的 客户 ， 如 此 就 将 全 局 路 由 前 缀 分配 到 了 客户 手中 。 那 么 每 个 客户 ， 
通过 在 剩 下 的 16bit 子 网 ID 字段 内 部 为 每 个 子 网 唯一 分 配 指派 值 的 方法 ， 可 定义 多 达 
65534 个 子 网 。 


0 23 63 64 127 


es TMID 201D 
(n bit) (61—n bit) (64 bit) 


图 2-5 全 局 单 播 地 址 格式 [1 


2.2.3 FC00:: /7 一 一 唯一 本 地 地 址 空间 


TE RFC 419305 中 定义 的 本 地 唯一 地 址 (ULA) 空间 ， 其 目的 是 通常 在 一 个 站 点 
内 部 提供 本 地 可 分 配 和 可 路 由 的 IP 地址。RFC 4193 陈述 说 “期 望 这 些 地 址 在 全 球 因 
特 网 上 是 不 可 路 由 的 ”。 因 此 虽然 不 像 RFC 1918 在 定义 私有 IPv4 地 址 空间 时 那么 严 
格 ， 但 本 地 唯一 地 址 空间 本 质 上 仍然 是 私有 地 址 空间 ， 提 供 “ 本 地 ” ( 局部) 寻 址 ， 
它 以 较 高 概率 保持 仍然 是 全 球 唯 一 的 。 本 地 唯一 地 址 空间 的 格式 如 图 2-6 所 示 。 


0 678 47 48 63 64 127 


AID HID 
TT1TTIOL (a0bit) FAD bit) a bit) 


图 2-6 本 地 唯一 地 址 空间 的 格式 05] 


© EUI-64 指 由 IEEE 定义 的 64bit 扩展 独特 标识 符 。 我 们 将 在 本 章 稍 后 部 分 讲解 修订 的 EUL64 算法 。 
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前 7bit， 即 比特 0~6, 是 [1111 110], =FCOO:; /7， 识 别 该 地 址 是 一 个 本 地 唯 
一 地 址 。 第 8 个 bit， 即 “L”bit， 如 果 全 局 ID 是 本 地 指派 分 配 的 ， 则 设置 为 “1”; 
SL” bit 设置 为 “0” 的 含义 当前 还 未 确定 ， 但 因特网 任务 工程 组 (ETF) 已 经 讨 
论 过 ， 拟 将 这 个 设置 用 于 全 局 本 地 唯一 地 址 ， 它 是 通过 因特网 地 址 注册 机 构 分 配 的 。 
40bit 长 的 全 局 ID 字段 的 目的 是 表示 一 个 全 局 唯一 前 缀 ， 并 必须 使 用 一 个 伪 随 机 算法 
(不 是 顺序 方法 ) 进行 分 配 。 无 论 在 哪 种 情形 中 ， 得 到 的 /48 前 级 构成 了 组 织 机 构 的 
ULA 地 址 空间 ， 从 该 空间 中 可 分 配 用 于 内 部 使 用 的 子 网 。 子 网 ID 是 一 个 16bit 的 字 
段 ， 用 来 识别 每 个 子 网 ， 而 接口 ID 是 一 个 64bit 字段 。 

在 RFC 4193 中 描述 了 得 到 一 个 全 局 唯一 ID 的 一 种 范例 性 的 伪 随 机 方法 ， 它 建议 
以 如 下 方式 计算 一 个 散 列 数值 ? 。 

1) 一 台 网 络 时间 协 议 (NTP) 服务 器 以 64bit NTP 格式 报告 的 当前 时 间 。 

2) 与 实施 该 算法 主机 上 一 个 接口 的 一 个 EUI-64 接口 D 拼接 在 一 起 。 

之 后 将 散 列 运算 结果 的 最 低 (最 右边 的 ) 40bit 构成 全 局 ID, 


2.2.4 FE80::/10 一 一 链 路 本 地 地 址 空间 


链 路 本 地 地 址 仅 用 在 一 条 特定 链 路 上 ， 例 如 一 条 以 太 网 链 路 ; 带 有 链 路 本 地 目的 
地 址 的 报 文 是 不 可 路 由 的 。 即 ， 具 有 链 路 本 地 地 址 的 报 文 将 不 能 到 达 对 应 链 路 外 面 
( 即 范围 为 对 应 链 路 ) 。 这 些 地 址 用 于 地 址 自动 配置 和 邻居 发 现 ， 这 将 在 后 面 讨论 。 
链 路 本 地 地 址 空间 的 格式 如 图 2-7 所 示 。 


0 910 63 64 127 
到 2-7 链 路 本 地 地 址 空间 的 格式 ! 呈 | 
FE80:: /10 链 路 本 地 前 缀 后 跟 54 个 零 bt 和 64bit 的 接口 ID, 


2.2.5 FF00:: /8 一 一 组 播 地 址 空间 


组 播 地 址 识别 典型 情况 下 在 不 同 节点 上 的 一 组 接口 。 可 将 组 播 地 址 想象 为 一 个 范 
围 受 限 的 广播 。 所 有 组 播 组 成 员 都 使 用 相同 的 组 ID ， 因 此 所 有 成 员 将 接受 目的 地 为 
组 播 组 的 报 文 。 一 个 接口 可 能 有 多 个 组 播 地 址 ; 即 ， 它 可 能 属于 多 个 组 播 组 。IPv6 组 
播 地 址 空间 的 格式 如 图 2-8 所 示 。 
0 78 1112 1516 127 


nn iF 基于 标志 值 的 组 播 地 址 
(4 bit) (4 bi (112 bit) 


图 2-8 组 播 地 址 空间 的 格式 [21 
BEAR FF00:: /8 标识 一 个 组 播 地 址 。 下 一 个 字段 是 一 个 称 为 “标志 ” (flags) 的 


”通过 在 要 被 散 列 的 数据 和 一 个 随机 数值 上 执行 一 个 数学 运算 ,得 到 一 个 散 列 数值 。 在 这 种 情形 
中 ， 要 求 使 用 一 个 特定 的 数学 算法 ， 即 安全 散 列 算法 1 或 SHA-1。 
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4bit 字段 。 组 播 地 址 的 格式 取决 于 标志 字段 的 数值 。 范 围 (scope) (也 许 被 带 有 感情 
色彩 地 称 作 “scop”( 吟 游 诗 人 ) ) 字段 表明 组 播 范 围 的 广度 ， 无 论 是 每 节点 、 链 路 、 
全 局 还 是 其 他 范围 数值 ， 都 将 在 下 面 定 义 。 幸 运 的 是 ， 标 志和 范围 字段 的 数值 均 可 容 
易 地 通过 分 别 查 看 地 址 内 部 的 第 3 个 十 六 进 制 和 第 4 个 十 六 进 制 数字 做 出 区 分 ， 我 们 
将 在 稍 后 总 结 一 下 。 

1. 标志 (flags) 

标志 字段 由 4bit 组 成 ,我们 将 从 右 到 左 加 以 讨论 (12). 


(1) Thit 指明 组 播 地 址 本 质 上 是 临时 用 途 的 ， 还 是 由 IANA 分 配 的 一 个 周知 地 址 。 
Thit 定义 如 下 。 

1) 了 =0。 这 是 一 个 IANA 分 配 的 周知 组 播 地 址 ( 见 图 2-9)。 在 这 种 情形 中 ， 这 
个 112bit 的 组 播 地 址 是 一 个 112bit 的 组 ID 字段 。 


0 78 1112 15 16 Pas 
范围 组 ID 
11111111 (bit) (112 bit) 


到 2-9 带 有 标志 了 =0 的 组 播 地 址 


0 78 1112 1516 23 24 31 32 95 96 127 


z 保留 的 
组 ID 
isha) eer oe 


到 2-10 ” 带 有 标志 P=1 的 组 播 地 址 [16] 


迄今 为 止 ，IANA 已 经 分 配 了 许多 组 ID?。 例 如 ,组 ID =1 指 代 在 关联 范围 (由 
范围 字段 定义 ) 内 部 的 所 有 节点 , 组 ID =2 指 代 在 范围 内 的 所 有 路 由 器 等 。 范 围 字段 
是 如 下 定义 的 ， 周知 的 组 播 地 址 范例 如 下 。 

© F01:: 1= 本 链 路 上 的 所 有 节点 。 

@ FF02:: 2 = 本 链 路 上 的 所 有 路 由 器 。 

@ FFOS:: 1 = 本 站 点 上 的 所 有 节点 。 

由 FF05:: 2 = 本 站 点 上 的 所 有 路 由 器 。 

2) 了 =1。 这 是 一 个 临时 分 配 的 或 短暂 的 组 播 地 址 。 它 可 以 是 为 一 个 特定 组 播 会 
话 或 应 用 分 配 的 地 址 。 一 个 范例 如 FF12:: 3: F: 10。 

(2) Pbit 指明 组 播 地 址 是 否 部 分 地 由 一 个 对 应 的 组 播 地 址 前 缀 组 成 。Pbit 定义 
如 下 = 。 


1) 已 =0。 这 个 组 播 地 址 不 是 依据 网 络 前 缀 进行 分 配 的 。 带 有 已 =0 的 一 条 组 


”请 参见 http: //www. iana. org/assignments/ipv6-multicast-addresses， 了 解 最 新 分 配 情 况 。 
© TE RFC 330609 中 可 见 到 Pbi 定义 的 文字 描述 。 


第 2 章 IPv6 (因特网 协议 版 本 6) 21 


播报 文 的 格式 见 上 面 的 描述 ( 即 当 T=0 时) ， 带 有 112bit 的 组 ID 字段 。 

2) 已 =1。 这 个 组 播 地 址 是 如 下 分 配 的 : 依据 “拥有 ”组 播 地 址 分 配 能 力 的 单 播 
子 网 地 址 的 网 络 前 缀 进行 分 配 。 为 了 进行 比较 简单 的 管理 ， 这 使 与 所 分 配 单 播 空 间 关 
联 的 组 播 空 间 分 配 成 为 可 能 。 如 果 P=1， 则 Thit 也 设置 为 1。 一 条 组 播报 文 的 对 应 格 
式 如 图 2-10 所 示 。 

当 PP=1 时 ， 范围 字段 后 跟 8 SE bit (保留 )、 一 个 8bit 前 缀 长 度 字段 以 及 一 个 
64bit 网 络 前 级 字段 和 一 个 32bit 组 ID 字段 。 前 级 长 度 字段 代表 所 关联 单 播 网 络 地 址 
的 前 级 长 度 。 网 络 前 缀 字段 包含 对 应 的 单 播 网 络 前 级 ， 而 组 ID 字段 包含 关联 组 播 
组 ID. 

例如 ， 如 果 一 个 单 播 地 址 2001; DB8; B7:: /48 被 分 配给 一 个 子 网 ， 一 个 对 应 
的 基于 单 播 的 组 播 地 址 将 具有 这 样 的 形式 ， 即 FF3s: 0030; 2001: DB8: B7:: g, 
其 中 

1) FF = 组 播 前 级 。 

2) 3=[0011],, BlP=1, T=1, 

3) s = 一 个 有 效 的 范围 ， 我 们 将 在 下 一 节 定 义 。 

4) 00 = 保留 比特 。 

5) 在 我 们 所 举例 子 中 的 前 缀 长 度 ，30 = 十 六 进 制 表示 的 前 缀 长 度 = [0011 
0000], = 十 进 制 表示 的 48。 

6) 2001; DB8: B7: 0 = 2001: 0DB8: 00B7: 0000 = 64bit 网 络 前 缀 字段 中 的 
48bit 网 络 前 级 。 

7) g = 一 个 32bit 的 组 ID, 

当前 级 长 度 字 段 =FF E s<2 时 ， 这 种 格式 出 现 一 种 P=7=1 的 特殊 情形 。 在 这 
种 情形 中 ， 网 络 前 级 字段 不 是 由 单 播 网 络 地 址 组 成 的 ， 而 是 将 由 相应 接口 的 接口 ID 
组 成 的 。 为 了 确保 接口 DD 的 唯一 性 ， 所 用 接口 ID 必须 已 经 通过 重复 地 址 检测 
(DAD) 过 程 ， 在 本 章 后 面 讨论 DAD 过 程 。 在 这 种 特殊 情形 中 ， 范 围 字 段 必 须 为 0、 
1 或 2， 这 意味 着 接口 本 地 范围 或 链 路 本 地 范围 。 在 RFC 448907 中 ， 将 这 种 链 路 范围 
的 组 播 地 址 格式 定义 为 IPv6 地 址 结构 的 一 个 扩展 。 

(3) 标志 字段 中 的 Rbit 支持 一 个 组 播 会 聚 点 (RP) 的 指定 ，RP 文 持 将 成 为 组 
播 组 署名 用 户 (成 员 ) ， 在 永久 地 加 入 到 组 之 前 ， 先 临时 地 连接 进来 。 如 果 Rbit 被 设 
BAL, JPA PA Thit 也 必须 设置 为 1。 当 尺 =1 时 ， 组 播 地 址 是 基于 一 个 单 播 前 绥 
的 ， 但 RP 接口 ID 也 要 加 以 指定 (ILA 2-11), R=1 时 的 组 播 地 址 格式 等 同 于 R=0 
和 P=1 时 的 情形 ， 例 外 是 保留 字段 被 分 割 成 一 个 4bit 保留 字段 和 一 个 4bit 会 聚 点 接 
口 ID (RUD) 字段 。 

1) RP 的 了 PP 地 址 是 通过 将 相应 前 级 长 度 的 网 络 前 级 与 RIID 字段 的 数值 串 接 得 到 
的 。 例 如 ， 如 果 在 该 [ 单 播 ] 网 络 上 的 一 个 RP Æ 2001: DB8: B7:: 6， 则 关联 的 组 
播 地 址 将 是 FF7s: 0630; 2001: DB8: B7: g, HP s= 下面 定义 的 一 个 有 效 范围 ， 
g = 一 个 32bit 的 组 ID, 

2) 这 个 地 址 的 显 式 分 解说 明 如 下 。 
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0 78 1112 1516 19 2023 24 31 32 95 96 127 
KA RD r n 


0 
11111111 SDH bit) 


2-11 带 有 标志 R=1 的 组 播 地 址 


组 ID 
(32 bit) 


BS 


O FF = 组 播 前 级 。 

@7=[0111],, 即 R=1、P=1 和 7T=1。 

© s = 下 面 定义 的 一 个 有 效 范围 。 

由 0= 保 留 比 特 。 

© 6 = RIID 字段 ， 将 被 附加 在 网 络 前 级 字段 后 面 。 

© 在 我 们 所 举例 子 中 的 前 级 长 度 ，30 = 以 十 六 进 制 表 示 的 前 级 长 度 = [0011 
0000], = 十进制 的 48。 

@ 2001: DB8: B7: 0 = 2001: ODB8: 00B7: 0000 = 64bit 网 络 前 级 字段 中 的 
48bit 网 络 前 级 。 

@ g = 一 个 32bit 的 组 ID, 

3) 第 一 个 标志 比特 保留 ， 并 被 设置 为 0。 

2. 组 播 标志 小 结 

谁 能 想到 组 播 寻 址 可 能 会 这 样 复 杂 呢 ?但 这 就 和 上 典型 情况 一 样 ， 随 复杂 性 而 来 的 
是 灵活 性 ! 总 结 一 下 ， 上 述 比 特 规定 的 净 结 果 产 生 了 当前 定义 标志 字段 的 如 下 有 效 数 
值 。 因 为 标志 字段 直接 跟 在 开始 的 8 个 “1”bit 之 后 ， 所 以 我 们 将 “有 效 前 级 ” 表 
示 为 开始 的 8bit 后 跟 有 效 的 4bit 标志 字段 ( 见 表 2-2) 。 


表 2-2 组 播 标 志 小 结 


标志 ( 二进制 ) 有 效 的 前 绥 解 释 
0000 FFOO; :/12 永久 地 分 配 112bit 组 ID ,其 范围 受到 4bit 范围 字段 的 约束 
0001 FFIO; :/12 临时 地 分 配 112bit 组 ID ,其 范围 受到 4bit 范围 字段 的 约束 
0011 FF30; :/12 临时 地 分 配 基 于 单 播 前 级 的 组 播 地 址 
0111 FF70; :/12 临时 地 分 配 基于 单 播 前 级 的 组 播 地 址 , 带 有 会 聚 点 接口 ID 
所 有 其 他 标志 数值 一 未 定义 


3. 范围 (Scope) 

范围 字段 确定 组 播 地 址 的 范围 或 “所 及 范围 ” (自然 是 足够 大 的 ) 。 这 由 路 由 需 
使 用 ， 用 相应 的 范围 沿 组 播 路 径 约 束 组 播 通信 的 所 及 范围 。 注 意 ， 为 了 增强 相应 所 及 
范围 的 约束 ， 除 了 接口 本 地 、 链 路 本 地 和 全 局 外 的 范围 必须 采用 管理 方式 ， 在 服务 给 
定 范围 的 路 由 器 上 加 以 定义 。 表 2-3 简单 总 结 了 有 效 的 范围 数值 。 


2.2.6 特殊 情形 的 组 播 地 址 


(1) 被 请 求 的 (solicited) 节点 组 播 地 址 。 每 个 节点 必须 支持 的 一 种 组 播 地 址 形 
式 是 被 请 求 的 节点 组 播 地 址 。 这 个 地 址 用 于 地 址 自动 配置 的 重复 地 址 检测 阶段 过 程 和 
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邻居 发 现 协议 ， 该 协议 使 


接口 DD 最 低 〈 最 右边 ) 24bit 添加 到 周知 的 FFO2:: 1: 


请 求 的 节点 组 播 地 址 。 


一 条 链 路 上 识别 IPv6 节点 成 为 可 能 。 通 过 将 被 请 求 节点 的 


FF00Z104 前 绥 之 后 ， 形 成 被 


表 2-3 组 播 范围 字段 解释 


范围 字段 
二 进 制 十 六 进 制 含义 (范围 ) ti | 
0000 0 保留 保留 
由 一 个 节点 上 单 接口 组 成 的 范围 , 仅 用 于 
0001 1 接口 本 地 回环 传输 
0010 2 链 路 本 地 组 播报 文 在 其 上 传输 的 链 路 范围 
0011 3 保留 保留 
管理 本 地 受 限 在 管理 上 配置 的 最 小 范围 。 这 个 范围 
没有 依据 物理 连接 性 或 其 他 组 播 有 关 的 配置 
0101 5 站 点 本 地 范围 受 限 于 管理 上 确定 的 站 点 
0110 .0111 6.7 未 指派 未 用 
:管理 定 的 一 个 组 织 机 构 内 部 的 
1000 8 组 织 机 构 本 地 Pete Pea 
1001 ~ 1101 9~D 未 指派 未 用 
1110 E 全 局 范围 不 受 限 制 的 范围 
1111 F 保留 保留 


例如 ， 我 们 假定 一 个 节点 拟 解 析 IP 地 址 为 2001: DB8: 4E: 2A: 3001: FA81 : 
95D0; 2CD1 的 设备 (接口 ) 的 链 路 层 地 址 。 使 用 最 低 24bitD02CD1 (十 六 进 制 ) ， 该 


设备 可 将 其 请 求 发 送 到 FF02:: 1: 


FFD0: 2CD1 ( 见 图 2-12) 。 


2 0 0 1 8 1 9 5 D 0 2 C D 1 
|o0100000)00000001 aai |ioo0000:}100:0:0 11070000 00101100 11010001 
CO 
|11111111]00000010 oon |o0000001|11111111|1101000000101100)11010001 
F F 0 2 0 1 F F D 0 2.26 D 1 
图 2-12 WRK ER LI a AE 


(2) 节点 信息 查询 地 址 。 节 点 信息 查询 地 址 是 这 样 一 个 组 播 地 址 ， 它 支持 从 一 
台 IPv6 主机 请 求 主机 名 、IPv6 和 IPv4 地 址 信息 〈( 见 图 2-13 ) 。 如 果 您 认为 这 听 起 来 


有 点 与 DNS 已 经 提供 的 功能 有 所 重 僵 ， 
析 的 这 种 模式 “目前 限于 诊断 和 j 


那 您 就 猪 对 了 。 但 是 ， 依 据 RFC 46201, fie 
周 试 工 具 及 网 络 管理 ”。 要 得 到 这 种 信息 ， 该 查询 并 


不 查询 一 台 DNS 服务 器 ， 而 是 将 一 条 查询 发 送 到 节点 信息 表 查询 地 址 。 

用 ， 支 持 一 个 IPv6 地 址 仅 基 于 预期 接收 者 的 主机 名 即 可 
形成 ; 如 果 IPv6 地 址 已 经 知道 ， 且 请 求 了 主机 名 信息 ， 则 IPv6 地 址 本 身 就 可 用 作 目 
的 地 址 。 当 针对 一 个 已 知 的 主机 名 请 求 P 地 址 信息 时 ,使 用 128bit MD-5 算法 对 规范 


这 种 组 播 地 址 格式 的 使 
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C 2 6 E D 9 F D 


11000010 0110111011011001 1111110 SEZ 


— — 
11111111 00000010R 00000010 111111111100001001101110 1101100 
F F 0 2 0 2 F F C 2 6 E D 9 


图 2-13 被 请 求 的 节点 信息 查询 地 址 


的 主机 名 ”进行 散 列 运算 ， 将 从 散 列 运算 得 到 的 前 24bit 添加 到 FF02:: 2: FF00: 0/ 
104 前 级 后 面 。 当 每 个 节点 接收 到 以 这 个 节点 信息 查询 地 址 为 目的 地 的 消息 时 ， 它 将 
地 址 中 的 最 后 24bit 与 其 自身 主机 名 计算 出 的 散 列 数值 的 前 24bit 进行 比较 ; 如 果 两 者 
匹配 的 话 ， 则 接收 者 将 以 被 请 求 的 信息 做 出 应 答 。 


2.2.7 BAAR IPv4 地 址 的 IPv6 地 址 


在 第 15 章 中 ， 我 们 将 讨论 IPv4 到 IPv6 的 迁移 和 共存 策略 ， 但 下 面 我 们 将 先 介绍 
一 下 IPv4 映射 的 IPv6 地 址 〈 见 图 2-14) 。 这 种 类 型 的 地 址 在 因特网 上 是 不 可 路 由 的 ， 
仅 可 由 一 些 (地 址 ) 转换 方案 使 用 ， 且 一 般 情 况 下 ， 不 应 该 用 在 一 条 通信 和 链 路 的 
IPv6 报 文 内 部 。 这 个 地 址 格式 由 80 个 0bit， 后 跟 16 个 1bit， 再 后 跟 32bit 的 IPv4 地 址 
组 成 。 


0 79 80 95 96 127 


IPv4 地 址 
(32 bit) 


P 
(80 bit) | E. 
2-14 IPv4 映射 的 IPv6 地 址 [21 

这 种 地 址 表示 法 将 人 们 熟悉 的 IPv4 点 分 十 进 制 格式 添加 到 指定 的 IPv6 前 级 之 后 
进行 了 组 合 。 因 此 ，172.16.20.5 的 IPv4 映射 的 IPv6 地 址 将 被 表示 为 :: 
FFFF: 172. 16. 20. 5。 


器 


2.3 IPv6 地 址 自动 配置 


IPv6 被 宣称 的 优势 之 一 是 设备 可 自动 配置 它们 自身 IPv6 地 址 的 能 力 ， 对 于 设备 
当前 正在 连接 的 子 网 ?而 言 ， 该 地 址 是 独特 的 ， 且 与 该 子 网 有 关 。 有 三 种 基本 形式 的 
IPv6 地 址 自动 配置 。 

1) 无 状态 的 。 这 个 过 程 是 “无 状态 的 ”， 原 因 是 它 不 依赖 于 外 部 分 配 机 制 〈 例 


”从 技术 角度 而 言 ,，“ 规 范 的 主机 名 ”是 以 小 写字 母 表示 的 完全 符合 要 求 的 域名 的 第 一 个 “标签 ”。 
在 第 9 章 将 详细 描述 这 个 术语 ， 但 如 果 说 这 一 般 是 预期 发 送 到 的 目的 地 主机 名 ， 也 是 可 以 的 。 

O 注意 一 些 IPv4 协议 栈 ， 例 如 在 众多 协议 栈 中 微软 Windows 2000 和 XP 提供 的 协议 栈 ， 使 用 IPv4 
“ 链 路 本 地 ” 地 址 空间 169. 254. 0.0/16 实施 地 址 自动 配置 。 
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如 IPv6 动态 主机 配置 协议 (DHCPv6)) 的 状态 或 是 否 存 在 。 在 没有 外 部 或 用 户 干 预 
的 情况 下 ， 设备 尝 试 配置 其 自身 的 IPv6 地 址 (可 能 是 多 个 地 址 ) 。 

2) 有 状态 的 。 有 状态 的 过 程 仅 依 赖 于 外 部 地 址 分 配 机 制 (例如 DHCPv6)。DH- 
CPv6 服务 器 以 类 似 于 IPv4 DHCP 操作 的 方式 ， 将 128bit IPv6 地 址 分 配给 设备 。 在 第 5 
章 中 将 详细 描述 这 个 过 程 。 

3) 无 状态 和 有 状态 组 合 方式 。 这 个 过 程 涉及 无 状态 地 址 自动 配置 与 其 他 IP 参数 
的 有 状态 配置 相 结 合 一 起 使 用 的 形式 。 通 常情 况 下 ， 这 需要 一 台 设 备 使 用 无 状态 方法 
自动 配置 一 个 IPv6 地 址 ， 之 后 利用 DHCPv6 得 到 其 他 参数 或 选项 ， 比 如 要 在 给 定 网 
络 上 联系 哪 台 NTP 服务 器 来 查询 时 间 分 辨 率 (resolution ) 。 

在 最 基本 的 层次 上 ， 一 个 IPv6 单 播 地 址 的 自动 配置 包括 将 设备 所 连接 网 络 的 地 
址 (您 在 哪里 ) 和 设备 的 接口 ID (BEW) 串 接 在 一 起 的 操作 。 让 我 们 首先 考虑 设 
备 如 何 确定 它 所 连接 网 络 的 地 址 。 


2.4 邻居 发 现 


在 IPv6 中 的 邻居 发 现 过 程 使 一 个 节点 能 够 发 现 它 所 连接 的 IPv6 子 网 地 址 。 一 般 
而 言 ， 邻 居 发 现 也 支持 在 子 网 上 识别 其 他 IPv6 节点 、 识 别 它 们 的 链 路 层 地 址 、 发 现 
服务 该 子 网 的 路 由 器 〈 可 能 是 多 台 路 由 需 ) 以 及 实施 重复 地 址 检测 。 路 由 器 的 发 现 
使 IPv6 节点 能 够 自动 地 识别 子 网 上 的 各 路 由 器 ， 就 弱化 了 在 设备 的 卫 配 置 内 部 人 工 
配置 一 个 默认 网 关 的 需求 。 这 个 邻居 发 现 功能 使 一 台 设 备 可 识别 分 配给 链 路 的 网 络 前 
级 (可 能 有 多 个 前 级 ) 和 对 应 的 前 绥 长 度 (可 能 有 多 个 前 级 长 度 ) 。 

发 现 过 程 需要 每 台 路 由 需 周 期 性 地 在 其 配置 的 每 个 子 网 上 发 送 通告 ， 该 通告 指明 
它 的 下地 址 ， 它 提供 默认 网 关 功 能 的 能 力 、 它 的 链 路 层 地 址 、 所 服务 链 路 上 的 网 络 
前 级 (可 能 有 多 个 前 级 ) (包括 对 应 的 前 级 长 度 ) 和 有 效 的 地 址 寿命 ， 以 及 其 他 配置 
参数 。 

路 由 器 通告 也 指明 是 否 存 在 一 台 DHCPv6 服务 器 可 用 于 地 址 分 配 或 其 他 配置 。 路 
由 需 通 告 中 的 Mbit (被 管理 地 址 的 配置 标志 ) 指明 DHCPv6 服务 可 用 于 地 址 和 配置 
设置 。Obit (其 他 配置 标志 ) 指明 除了 IP 地 址 之 外 的 配置 参数 可 通过 DHCPv6 得 到 ; 
这 样 的 信息 可 能 包括 对 于 这 条 链 路 上 的 各 个 设备 可 查询 哪些 DNS 服务 器 。 各 节点 也 
可 使 用 路 由 器 请 求 消 息 ， 请 求 路 由 器 通告 ， 目 的 地 址 要 设 为 链 路 本 地 路 由 器 组 播 地 址 
(FF02:: 2)。 


2.4.1 改进 的 EUI-64 接口 标识 符 


一 旦 一 个 节点 识别 出 它 所 连接 到 的 子 网 ， 那 么 通过 形成 其 接口 D， 它 就 可 完成 
地 址 自动 配置 过 程 。IPv6 地 址 结构 约定 ， 除 了 那些 以 二 进 制 [000], 开始 的 地 址 外 ， 
所 有 单 播 IPv6 地 址 必须 利用 改进 的 EUI-64 算法 ， 得 到 一 个 64bit 的 接口 ID 。“ 未 改进 
的 ”EUI-64 算法 指 将 IEEE 向 每 个 网 络 接 口 硬件 制造 商 (例如 一 个 以 太 网 地 址 的 初始 
24bit) 发 行 的 24bit 公司 标识 符 与 一 个 40bit 的 扩展 标识 符 串 接 在 一 起 。 对 于 48bit 的 
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以 太 网 地 址 ， 以 太 网 地 址 的 公司 标识 符 部 分 (前 24bit) 后 跟 一 个 16bit 的 EUI 标签 
(定义 为 FFFE)， 再 后 跟 24bit 的 扩展 标识 符 〈 即 以 太 网 地 址 剩 下 的 24bit ) 。 

将 一 个 未 改进 的 标识 符 转换 为 一 个 改进 的 EUI-64 标识 符 所 需 的 改进 操作 ， 要 求 
道 转 公司 标识 符 字 段 的 “wu”bit (全 局 /本 地 比特 ) 。“w”bit 是 公司 标识 符 字段 中 从 
高 位 数 起 的 第 7 位 。 因 此 ， 一 个 48bit MAC 地 址 的 这 种 算法 是 ， 逆 转 “u”bit， 并 在 公 
司 标识 符 和 接口 标识 符 之 间 插 人 十 六 进 制 数值 FFFE。 使 用 MAC 地 址 AC-62-E8-49-5F- 
62 的 这 个 过 程 ， 如 图 2-15 所 示 ， 得 到 的 接口 D 是 AF62: E8FF: FE49; 5F62 。 

对 于 非 以 太 网 MAC 地 址 ， 该 算法 要 求 使 用 链 路 层 地 址 作为 接口 ID ， 并 带 有 零 填 
充 (从 “ 左 ” 开 始 ) 。 对 于 没有 链 路 层 地 址 可 用 的 各 种 情形 ， 例 如 在 一 条 拨号 链 路 上 
的 情况 ， 建 议 一 个 唯一 的 标识 符 可 利用 另 一 个 接口 的 地 址 、 一 个 序列 号 或 其 他 设备 相 
关 的 标识 符 。 

接口 ID 也 许 不 是 唯一 的 ， 特 别 当 不 是 从 一 个 唯一 48bit MAC 地 址 得 到 的 情况 下 ， 
尤其 可 能 会 出 现 这 种 情况 。 因 此 ， 在 提交 新 地 址 之 前 ， 设 备 必须 执行 重复 地 址 检测 。 
在 完成 DAD 过 程 之 前 ， 认 为 地 址 是 暂时 的 。 


010 11 


ro; 


AE 6 2 E 8 F F F E 4 9 5 F 6 2 


图 2-15 改进 的 EUL64 接口 ID 范例 [1 


2.4.2 重复 地 址 检测 


使 用 邻居 发 现 过 程 实施 DAD ， 是 指 为 了 识别 IP 地 址 的 一 个 先期 占有 者 ， 设 备 向 
它 推算 得 到 的 (或 从 DHCPv6 得 到 的 ) IPv6 地 址 发 送 一 条 IPv6 邻居 请 求 报 文 。 稍 稍 
延迟 之 后 ， 设 备 也 向 与 这 个 地 址 关联 的 被 请 求 节点 组 播 地 址 发 送 一 条 邻居 请 求 报 文 。 

如 果 另 一 台 设 备 已 经 在 使 用 该 卫 地 址 ， 它 将 以 一 条 邻居 通告 报 文 做 出 响应 ， 那 
么 自动 配置 过 程 将 终止 ;， 即 要 求人 为 干预 或 配置 该 设备 使 用 一 个 替代 的 接口 D。 如 
果 没 有 收 到 邻居 通告 报 文 ， 那 么 该 设备 可 假定 该 地 址 是 唯一 的 (未 被 使 用 ) ， 并 将 其 
分 配给 对 应 的 接口 。 不 仅 对 自动 配置 的 地 址 ， 而 且 对 那些 静态 确定 的 地 址 或 通过 DH- 
CPv6 得 到 的 那些 地 址 ， 都 要 求 参与 执行 这 个 过 程 的 邻居 请 求 和 邻居 通告 。 

IPv6 地 址 有 一 个 寿命 ， 在 寿命 期 间 ， 它 们 是 有 效 的 〈 见 图 2-16)。 在 一 些 情形 
中 ， 寿 命 是 无 限 的 ， 但 地 址 寿命 的 概念 同样 适用 于 DHCPv6 租赁 的 地 址 和 自动 配置 的 
地 址 。 在 便利 网 络 重新 编 址 的 过 程 中 ， 这 是 有 用 的 。 针 对 每 个 网 络 前 级 ， 路 由 器 都 被 
配置 一 个 首选 寿命 和 一 个 有 效 寿命 数值 ， 在 路 由 器 的 路 由 器 通告 消息 中 ， 它 们 通告 为 
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每 个 网 络 前 级 通告 这 两 个 数值 。 成 功 地 通过 上 面 所 述 重复 地 址 检测 过 程 而 被 证 明 唯一 
的 IP 地址， 可 认为 是 首选 的 或 过 时 的 deprecated )。 无 论 是 在 哪 种 状态 ,该 地 址 都 
是 有 效 的， 但 这 种 差异 为 上 层 协 议 (例如 TCP、UDP) 提供 了 选择 在 后 续 会 话 过 程 中 
不 太 可 能 会 发 生变 化 的 一 个 IP 地 址 的 方式 。 

依据 通告 的 数值 ， 一 全 设备 采用 每 条 路 由 器 通告 中 的 数值 ， 刷 新 它 的 首选 时 间 和 
有 效 时 间 。 当 一 个 首选 前 级 的 时 间 过 期 时 ， 所 关联 的 地 址 (可 能 是 多 个 地 址 ) 将 成 
为 过 时 的 ， 虽然 仍然 是 有 效 的 。 因 此 ， 过 时 的 状态 提供 了 一 个 过 渡 时 间 ， 在 此 期 间 ， 
该 地 址 仍然 是 可 用 的 ， 但 不 应 该 用 之 发 起 新 的 通信 。 一 旦 地 址 的 有 效 寿命 过 期 ， 则 该 
地 址 不 再 有 效 ， 即 不 能 再 用 。 如 果 一 个 子 网 被 重新 分 配 一 个 不 同 的 网 络 前 级 ， 则 路 由 
器 可 被 配置 为 通告 新 的 前 级 ， 当 老 的 前 级 过 期 时 ， 在 网 络 上 的 设备 将 使 用 新 的 前 缀 实 
施 自 动 配置 过 程 。 


义 接口 ID 通过 重复 
人 地 址 检测 


地 址 有 效 


暂时 的 首选 的 过 期 的 


通告 首选 寿命 
通告 有 效 寿命 


路 由 器 通告 或 
DHCPv6 地 址 指派 
图 2-16 IPv6 地 址 寿命 (该 图 依据 参考 文献 [19] 画 出 ) 


2.5 保留 的 子 网 任意 播 地 址 


RFC 25261”| 为 保留 的 子 网 任意 播 地 址 定义 了 格式 。IPv 设备 使 用 这 些 地 址 将 报 
文 路 由 到 一 个 具体 指定 子 网 上 一 种 特定 类 型 的 距离 最 近 的 设备 。 例 如 ， 一 个 保留 的 子 
网 任意 播 地 址 可 被 用 来 将 报 文 发 送 到 一 个 具体 指定 子 网 上 的 距离 最 近 的 移动 IPv6 家 
乡 代理 。 因 为 全 局 路 由 前 缀 和 子 网 ID 是 在 这 个 地 址 类 型 内 部 确定 的 ， 所 以 它 使 一 个 
节点 能 够 在 那个 子 网 上 定位 期 望 类 型 的 最 近 距 离 的 节点 。 

地 址 的 格式 取 两 种 形式 之 一 ， 依 据 是 子 网 前 缀 是 否 要 求 以 改进 的 EUI-64 格式 形 
成 接口 ID 字段 。 回 顾 一 下 ， 所 有 全 局 单 播 地 址 (除了 以 [0001, 开始 的 那些 单 播 地 
址 外 ) 必须 利用 64bit 的 接口 D， 是 基于 接口 的 链 路 层 地 址 和 前 面 所 描述 的 EUI-64 
算法 形成 接口 ID 的 。 

(1) 如 果 要 使 用 EUI-64 算法 ,那么 保留 的 子 网 任意 播 地 址 是 通过 串 接 以 下 字段 
而 形成 的 〈 见 图 2-17) 。 

0 63 64 57 bit 120 121 127 


网 络 前 缀 is 任意 播 
(64 bit) 111111011 11 Gh 


12-17 ” 当 要 求 使 用 EUI-64 时 ， 保 留 的 子 网 任意 播 地 址 格式 1201 
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1) 64 


bit 全 局 路 由 前 级 和 子 网 ID, 


2) 除了 这 个 序列 中 的 第 7bit (从 左 向 右 数 ， 从 1 开始 算 起 的 第 71bit) 为 0 外 ， 


其 他 57bit 
符 字段 的 
该 比特 的 

3) 7b 
为 十 六 进 


都 全 为 1。 当 实施 EUI-64 算法 时 ， 这 个 第 7bit 对 应 于 硬件 地 址 中 公司 标识 
“u” bt (全 局 /本 地 比特 ) 。 在 这 个 特定 场景 中 ， 这 个 比特 总 是 为 0， 表 示 
“本 地 ”设置 。 

it 的 任意 播 ID。RFC 2526 为 移动 IPv6 家 乡 代理 任意 播 定 义 单一 任意 播 ID 
HA TE, SRSA IANA 可 依据 未 来 IETF RFC 发 布 版 本 (publications) ， 分 配 其 


他 任意 播 ID ， 但 目前 其 他 任意 播 ID 数值 是 保留 的 。 
(2) 如 果 EUI-64 不 被 要 求 依据 全 局 路 由 前 级 和 子 网 ID 生成 ,那么 网 络 前 缀 长 度 
中 的 nbit 就 是 任意 的 ， 后 跟 121-”bit， 再 后 跟 7bit 任意 播 ID ( 见 图 2-18)。 


0 121- n bit 120 121 127 


网 络 前 级 zi: 任意 播 


到 2-18 ” 当 不 要 求 使 用 EUI-64 时 ， 保 留 的 子 网 任意 播 地 址 格式 [20] 


2.6 必 备 的 主机 IPv6 地 址 


RFC 42947" 总 结 了 IPv6 节点 (实施 IPv6 的 一 台 设 备 ) 和 IPv6 路 由 器 的 要 求 。 
就 必 备 的 地 址 而 言 ， 所 有 IPv6 节点 必须 能 够 自己 识别 如 下 IPv6 地 址 。 

1) 回环 地 址 (:: 1)。 

2) 它 的 链 路 本 地 单 播 地 址 (通过 自动 配置 过 程 配置 的 FE80:: < 接口 ID > )。 

3) 所 有 节点 组 播 地 址 (FF0s:: 1， 其 中 ;= 范围 )。 

4) 在 每 个 接口 上 自动 或 人 工 配置 的 单 播 和 任意 播 地 址 。 

5) 针对 它 的 每 个 单 播 和 任意 播 地 址 得 到 的 被 请 求 节点 组 播 地 址 。 

6) 该 节点 所 属 每 个 组 播 组 的 组 播 地 址 。 

要 求 一 台 路 由 器 节点 支持 上 述 地 址 ， 除 此 之 外 ， 还 要 支持 如 下 地 址 。 

1) 子 网 路 由 器 任意 播 地 址 ( < 子 网 前 缀 > :: /128 ， 即 接口 ID =0s) 。 

2) 所 有 路 由 器 组 播 地 址 (FF0s:: 2， 其 中 * = 范围 ) 。 

3) 在 该 路 由 器 上 配置 的 任意 播 地 址 。 

诸如 DHCP 服务 器 和 DNS 服务 器 等 其 他 设备 类 型 ， 必 须 识别 范围 受 限 的 组 播 地 
址 (对 应 于 IANA 分 配 的 组 ID ( 即 当 标志 =0 时 的 情况 ) ) 。 


TEAS BE RADE AVE AT IP 地 址 管理 实践 基础 的 技术 和 应 用 
将 通过 范例 的 方式 ， 


第 3 Fe 


IP 地 址 分 配 


展开 描述 。 男 外 ， 我 们 
展示 这 些 技术 和 应 用 。 因 此 以 IP 地 址 分 配 基础 知识 开始 ， 我 们 


将 逐步 地 将 每 个 新 概念 应 用 到 一 个 被 称 为 国际 处 理 和 材料 ( International Processing 
and Materials, IPAM) 全 球 公 司 的 一 个 假想 组 织 机 构 和 IP Address Management 
(IPAM) (本 书 名 ) 简写 相同 ， 有 意思 的 文字 游戏 而 已 !) 。IPAM 全 球 公司 的 基本 组 
织 机 构 由 在 菲律宾 的 一 个 全 球 总 部 和 分 布 于 全 球 三 个 主要 地 理 的 分 部 组 成 ， 这 三 个 分 
部 分 别 位 于 欧洲 的 都 柏林 、 北 美的 费城 和 亚洲 的 东京 。IPAM 全 球 公 司 有 大 约 17000 
名 雇员 和 24 个 配送 中 心 (也 作为 分 支 办 事 处 ) 和 另外 37 个 办 事 处 〈 仅 作为 分 文 办 


事 处 )。 图 3-1 给 出 一 个 基本 的 位 置 表格 ,突出 显示 了 每 个 分 部 和 相应 的 配送 中 心 及 
分 支 办 事 处 。 


IP 网 络 的 部 署 将 主要 由 各 种 因素 决定 ， 即 用 户 所 在 的 IP 网 络 位 于 何 处 (依据 图 


3-1 中 列 出 的 站 点 ) 、 在 每 个 位 置 的 用 户 数 量 、 对 信息 资源 (例如 内 部 应 月 


明和 因特网 ) 


访问 的 用 户 需 求 的 多 样 性 以 及 管理 IP 网络 的 行政 管理 (从 安全 到 审计 等 ) 需求 的 多 


样 性 等 所 决定 。 因 为 与 各 种 商务 需要 有 关 的 输入 的 多 样 性 ， 一 般 来 说 ， 任 何 一 个 机 构 


的 全 网络 看 起 来 与 任何 其 他 机 构 的 了 P 网 络 都 多 少 有 点 不 同 。 但 是 ， 我 们 讨论 的 技术 
应 该 可 以 广泛 地 用 于 各 种 类 型 的 网 络 (包括 您 的 网 络 )。 
IPAM 全 球 公 司 的 全 球 各 个 地 点 


核心 站 点 区 域 地 区 站 点 配送 中 心 分 支 办 事 处 
费城 公司 总 部 费城 
费城 北美 分 部 费城 
多 伦 多 普罗 维 登 斯 
纳 舒 厄 昆 西 (Quincy) 
ZA PLE 奥 尔 巴 尼 
巴尔 的 摩 曼哈顿 
北美 一 东部 |O 诺 里 斯 吉 pe ac iB 
夏 洛 特 ei 
亚特兰大 里 士 满 
查尔斯 顿 
蒙哥马利 
芝加哥 莱 尔 (Lisle) 
得 梅 因 印第安 纳 波 利 斯 
北美 中 部 堪萨斯 城 孟菲斯 托 皮卡 
新 奥尔良 休斯敦 
墨西哥 城 
图 3-1 IPAM 全 球 公司 全 球 各 处 的 位 置 和 办 事 处 
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IPAM 全 球 公司 的 全 球 各 个 地 点 
核心 站 点 区 域 地 区 站 点 配送 中 心 分 支 办 事 处 
Hih 卡尔 加 里 
温哥华 阿尔 布 开 克 
非 尼克 斯 盐湖 城 
北美 西部 旧金山 博 尔 德 
埃 德 蒙 顿 
萨克拉门托 
阿 纳 海 姆 
都 柏林 欧洲 分 部 都 柏林 
阿姆斯特丹 曼彻斯特 
m 满 德 
欧洲 一 西部 伦敦 ae “ag 
E ip 
里 斯 本 
罗马 尼斯 
欧洲 一 一 南 冯 罗马 米兰 
Eii 
FeR 维也纳 
欧洲 一 东部 柏林 auld A 
布达佩斯 特 
基辅 
东京 尔 
北京 KK 
新 加 坡 新 加 坡 
东京 亚洲 分 半 东京 
东京 亚洲 分 部 东京 奥克兰 马尼拉 
新 德里 
悉尼 
图 3-1 IPAM 全 球 公司 全 球 各 处 的 位 置 和 办 事 处 ( 续 ) 


IPAM 全 球 公司 的 IT 团队 决定 在 机 构 总 部 和 地 区 分 部 之 间 部 署 一 个 高 速 骨干 或 核 
心 网 。 从 每 个 区 域 分 部 办 事 处 出 发 ， 为 发 射线 状 ， 形 成 的 是 一 个 大 陆 内 部 的 广域网 
(WAN) ， 将 每 个 地 区 的 零售 点 、 配 送 点 和 分 支 办 事 处 互联 起 来 。 依 据 这 种 基本 的 两 
层 结构 的 核心 网 络 和 区 域 网 络 思路 ， 构 建 而 成 的 每 个 分 支 网 络 进一步 分 成 地 理 区 域 。 
例如 ， 在 北美 ， 分 支 网 络 将 行政 辖 域 分 成 三 个 子 区 域 : 东部 、 中 部 和 西部 ， 之 后 进 一 
步 分 成 主要 的 配送 中 心 和 分 支 办 事 处 站 点 。 类 似 地 ， 欧 洲 区 域 分 成 西部 、 南 部 和 东部 
区 域 。 

依据 这 个 拓扑 ，IT 团队 决定 在 地 址 空间 方面 模仿 这 个 结构 ， 我 们 接 下 来 可 明白 
这 点 。 因 此 ， 一 个 核心 网 络 互联 区 域 分 部 站 点 ， 每 个 区 域 分 部 作为 其 相应 区 域 网 络 和 
核心 网 络 之 间 的 中 继 (intermediary) 。 每 个 区 域 网 络 将 该 区 域内 的 相应 配送 中 心 和 分 
支 办 事 处 互联 起 来 。 从 一 个 机 构 角度 看 ， 每 个 区 域 有 其 自己 的 IT 团队 ， 该 团队 将 负 
责 管理 其 自己 的 空间 以 及 关联 的 DHCP 服务 器 与 DNS 服务 器 配置 。 图 3-2 画 出 高 层 的 
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IPAM 全 球 公 司 网 络 拓扑 设计 。 

HE IP 地 址 空 Re \ 司 将 部 署 一 个 10. 0. 0.0/8 网 络 ， 这 是 依 
据 RFC 1918 规定 的 私有 地 址 空间 。 公 开 地 址 空间 192. 0. 2. 0/24 是 从 一 个 ISP 得 到 的 
(在 本 章 后 面 ， 我 们 将 讨论 这 个 空间 是 从 哪里 得 到 的 ， 并 讨论 ISP 公开 地 址 空间 分 配 
及 其 策略 ) 。 这 个 公开 空间 将 分 配给 连接 因特网 的 设备 ， 如 Web 服务 器 、 电 子 邮 件 网 
关 和 用 于 合作 方 连接 和 远 端 雇员 的 VPN 网 关 。 另 外 ， 该 公开 地 址 空间 的 一 部 分 是 保 
留 部 署 的 ， 保 留用 于 连接 ISP 的 一 台 网 络 地 址 转换 (NAT) 防火 墙 上 的 一 个 公开 地 址 
池 。 如 我 们 在 第 1 章 介绍 的 ， 一 台 NAT 可 配置 为 自动 地 实施 私有 地 址 到 公开 地 址 的 
转换 ， 其 目的 是 使 私有 编 址 (内部) 的 主机 能 够 访问 因特网 。 


区域 分 部 


亚洲 -东京 
配送 中 心 @ ow 
Se 区 域 分 部 区 域 分 部 
iw = HH “ak 北美 ~ 费城 > > c 
IW Be Ses: 处 


aN "ET 分 支 办 事 处 S.A 分 支 办 事 处 
分 支 办 事 处 Q 配送 中 心 
分 支 办 事 处 


图 3-2 IPAM 全 球 公司 的 网 络 拓扑 (部 分 拓扑 ) 


3.1 地 址 分 配 逻 辑 S 


有 效 的 IP 地 址 分 配 要求 最 佳 的 规划 ， 理 想 情 况 下 ， 需 要 准确 的 预测 。 人 
层次 结构 每 个 层次 的 IP 地 址 空间 需求 ， 使 地 址 空间 的 最 优 分 配 可 完全 满足 地 址 容 
需要 ， 同 时 最 小 化 地 址 空间 的 浪费 。 当 然 在 现实 中 ， ene 
址 预测 是 极其 罕见 的 奢求 。 商 务 需求 驱动 永恒 的 变化 ， 新 站 点 的 开通 ， 一些 站 点 
关闭 了 或 迁 走 了 ， 新 的 开创 业 公司 喜欢 使 用 IP 上 的 语音 业务 CIP 电话 ) 办 公 ， 甚 
a \ 司 业务 时 也 是 如 此 。 这 些 战略 性 事件 通常 可 预先 做 出 计划 ， 除 此 之 
外 ， 组 织 结构 的 动态 变化 在 地 址 容量 需求 方面 可 能 导致 较 短期 的 变化 (RAL). Al 
如 ， 也 许 一 个 区 域 性 的 组 织 机 构 正 在 实施 一 项 异常 成 功 的 顾客 推广 计划 ， 导 致 下 
地 址 需求 的 突然 增加 ， 或 一 个 新 项 目 正在 导致 IP 地 址 需求 的 变动 (原因 是 项 目 资源 
临时 地 处 在 相同 位 置 ) 。 

您 的 底线 是 在 如 下 方面 尽 全 力 而 为 ， 即 预先 规划 高 层 地 址 容量 需求 ， 为 可 能 的 规 
模 扩 展 添加 某 个 额外 的 “保障 ” (insurance) 地 址 空间 ， 之 后 提前 监测 地 址 使 用 率 ， 


O “分配 逻辑 和 范例 的 依据 是 参考 文献 [11] 第 6 章 中 的 类 似 内 容 。 


32 IP 地 址 管理 原理 与 实践 


以 此 作为 一 个 反馈 环 路 ， 确 保 在 考虑 短期 和 长 期 地 址 影响 事件 的 情况 下 ， 所 分 配 的 地 
址 正 被 有 效 地 利用 。 作 为 IP 空间 管理 中 的 一 项 主要 功能 ， 预 先 部 署 的 监测 可 触发 地 
址 空间 分 配 或 移动 到 地 址 需要 比较 紧急 之 处 。 

当然 ， 预 先 部 署 监测 的 密度 将 直接 与 地 址 空间 的 利用 率 成 比例 。 如 果 您 所 在 网 络 
的 利用 率 在 90% 以上， 那么 您 将 需要 每 小 时 或 至 少 一 天 数 次 监测 它们 的 利用 率 。 利 
用 率 在 70% 以 下 的 网 络 ， 监 测 检查 在 一 周 数 次 的 频 度 即 可 。 理 想 情 况 是 ， 在 一 个 监 
MER IP 地 址 管理 系统 内 部 ， 定 义 国 值 和 报警 条 件 ， 从 而 缓解 人 工 连续 监测 网 络 的 需 
要 ， 同 时 使 关联 的 管理 系统 收集 信息 ， 并 在 出 现 一 个 特定 的 容量 利用 条 件 时 向 您 
报警 。 

除了 容量 需要 之 外 ， 男 一 个 重要 考虑 因素 是 以 一 种 层次 结构 方式 分 配 IP 地 址 块 ， 
这 样 可 使 地 址 空间 能 够 高 效率 地 “ 折 卷 ”到 最 高 层次 。 为 降低 路 由 协议 流量 和 路 由 
表 和 额外 负担 ， 这 项 实践 措施 对 于 最 大 化 路 由 汇聚 是 至 关 重 要 的 。 当 分 配 空间 时 ， 这 是 
比 考虑 路 由 拓扑 更 重要 的 事情 。 

第 三 项 考虑 因素 是 最 近 才 发 生 的 一 种 现象 : 依据 应 用 而 实施 地 址 分 配 。 由 于 某 些 
应 用 (例如 也 语音 , 一 般 情况 下 ， 相 比 于 数据 可 容 妨 数秒 的 时 间 延 迟 而 言 ， 它 要 求 
在 数 十 毫秒 量 级 的 低 延 迟 ) 的 延迟 或 服务 质量 (QoS) 需求 ， 一 些 网 络 规划 人 员 实 施 
基于 应 用 的 路 由 处 理 措施 。 实 施 这 种 措施 的 一 种 方式 是 ， 例 如 分 割 出 整体 地 址 空间 的 
一 部 分 ， 用 于 具有 较 高 优先 级 排队 要 求 的 语音 处 理 ， 同 时 将 此 空间 与 数据 空间 隔离 
开 。 其 他 具有 “特殊 需要 ”的 卫 应 用 可 能 要 求 进一步 的 地 址 划分 。 


3.1.1 顶层 分 配 逻 辑 


为 了 形象 说 明 地 址 分 配 概念 ， 让 我 们 将 这 些 概念 应 用 到 IPAM 全 球 公 司 的 私有 地 
址 块 10. 0. 0. 0/8。 当 实施 像 这 样 的 顶层 分 配 时 ， 要 牢记 在 心 的 是 ,不 仅 以 卫 地 址 表 
示 的 所 需 容量 是 绝对 必要 的 ， 而 且 子 分 块 或 层次 结构 各 层 的 数量 也 是 绝对 必要 的 。 在 
IPAM 全 球 公司 的 情形 中 ， 我 们 将 地 址 分 层 结 构 各 层 定 义 如 下 。 

1) 应 用 。 

2) 大 陆 级 层 或 核心 层 。 

3) 区 域 层 。 

4) 站 点 或 建筑 物 。 

因此 ， 我 们 的 顶层 分 配 将 依据 应 用 分 割 的 地 址 空间 。 那 么 将 在 核心 路 由 器 或 大 陆 
级 层次 分 配 每 个 应 用 特定 的 地 址 ， 之 后 依据 区 域 ， 最 后 依据 办 事 处 进行 地 址 分 配 。 因 
为 有 四 个 层 的 分 配 结构 ， 所 以 我 们 将 不 得 不 沿 非 字 节 边 界 进行 分 配 。 所 以 让 我 们 从 
CIDR 网 络 表示 法 和 对 应 的 二 进 制 表 示 法 两 个 角度 对 此 进行 考察 。 

这 个 网 络 的 二 进 制 表示 如 下 所 示 。 该 地 址 的 网 络 部 分 ， 其 长 度 由 /8 表示 法 加 以 


as 


”采用 占 整 块 百分比 的 做 法 ， 并 不 总 是 可 采取 的 最 佳 触发 行动 法 ， 特 别 当 在 整个 组 织 机 构 内 部 使 用 
不 同 尺寸 的 子 网 时 ， 更 是 如 此 。 有 10 个 地 址 的 子 网 的 90% 利用 率 ， 当 然 比 有 1000 个 地 址 的 子 网 
的 90% 利用 率 要 具有 较 高 的 地 址 需求 紧迫 度 。 
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识别 ， 以 黑 和 斜体 突出 显示 ， 而 本 地 部 分 是 正常 文本 。 

私有 网 络 10. 0. 0.0/8 00001010 00000000 00000000 00000000 

将 这 个 空间 在 该 机 构 各 部 分 间 分 配 时 ， 让 我 们 假定 ，IPAM 全 球 公 司 正 计划 在 不 

久 的 将 来 要 推广 IP 电话， 并 在 以 后 推广 其 他 IP 服务 。 让 我 们 取 网 络 地 址 的 下 一 个 
4bit， 并 分 配 等 尺寸 的 /12 网 络 。 这 将 提供 2"”” =16 个 潜在 的 高 层 应 用 ， 同 时 在 每 个 
分 配 中 提供 2 > 100 万 个 IP 地址。 因此 ， 我 们 为 每 个 基础 设施 地 址 空间 分 配 一 个 
/12 2, 为 电话 的 全 地址“ 子 空间 ”分 配 一 个 /12 网 络 ， 为 数据 子 空间 分 配 一 
个 /12 网 络 。 这 种 分 配 展示 如 下 ， 黑 斜体 比特 同样 表示 网 络 ( 网络 + 子 网 ) 部 分 , IE 
常 格式 的 比特 代表 主机 比特 。 

私有 网 络 10.0.0.0/8 00001010 00000000 00000000 00000000 

基础 设施 10.0.0.0/12 00001010 00000000 00000000 00000000 

语音 10. 16.0.0/12 00001010 00010000 00000000 00000000 

数据 10. 32.0.0/12 00001010 00100000 00000000 00000000 


3.1.2 第 二 层 分 配 逻 辑 


这 种 比较 初步 的 应 用 层 分 配 法 ， 将 我 们 的 最 初 一 整 块 /8 地 址 空间 重新 规整 为 三 
个 /12 空间 (依据 每 个 应 用 分 配 的 )。 在 这 个 层次 使 用 /12 的 决定 是 第 一 层 的 分 配 数 
量 和 每 个 分 配 可 用 的 地 址 数量 之 间 的 一 个 折 中 考虑 。 如 果 我 们 决定 分 配 /11 形式 的 网 
络 ， 那么 我 们 将 总 的 得 到 8 个 /11 网 络 ， 每 个 网 络 有 200 TL EY) IP 地 址 。 在 IPAM 
全 球 公司 的 情形 中 ,考虑 到 每 个 /12 应 用 块 有 100 万 个 IP 地址， 使 未 来 分 配 有 更 多 可 
用 的 顶层 块 ， 比 起 管理 每 块 的 容量 来 ， 是 人 们 更 加 关注 的 问题 。 如 果 一 个 特定 的 分 配 
用 光 了 ， 则 我 们 可 分 配 另 一 个 /12 块 。 

第 二 层次 以 及 后 续 层次 分 配 的 块 大 小 决策 ， 一 般 来 说 ， 应 该 采用 不 同 的 逻辑 。 不 
应 该 在 分 配 尺 寸 与 相等 尺寸 分 配 数量 之 间 的 折 中 方面 做 文章 ， 而 应 该 使 用 一 种 优化 的 
分 配 策略 。 这 种 优化 策略 需要 不 断 地 将 地 址 空间 缩小 一 半 ， 直 到 达到 要 求 的 尺寸 。 采 
用 这 种 方法 的 主要 原因 是 ， 它 使 你 能 够 保留 较 大 块 的 未 分 配 地 址 空间 ， 以 便 用 于 较 大 
的 请 求 和 和 蔡 代 分 配 。 

如 果 您 曾经 经 历 过 一 个 公司 的 合并 ， 那 么 您 可 能 遇 到 过 如 下 的 一 种 情景 ， 这 种 情 
景 很 好 地 展示 说 明了 优化 分 配 的 动机 (出 发 点 )。 让 我 们 假设 IPAM 全 球 公司 收购 了 一 
家 公司 ， 网 络 集成 策略 要 求 向 新 的 分 部 分 配 250000 个 IP 地址 。 为 了 最 小 化 混乱 (并 充 
分 显示 对 此 竞争 开 组 织 机 构 的 网 络 控制 力 ) IPAM 全 球 公司 期 望 分 配 单一 的 [14 网 
络 ， 做 到 支持 262142 个 地 址 。 

如 果 我 们 优化 地 分 配 我 们 的 地 址 空间 ， 那 么 也 许 恰 巧 有 一 个 [14 网 络 可 用 (IP 地 
址 分 配 大 师 ! ) 。 如 果 在 各 处 采用 分 配 /16 网 络 的 一 种 统一 方法 ， 也 许 幸 运 地 得 到 可 组 
成 一 个 /14 网 络 的 四 个 连续 /16 网 络 〈 幸 运 的 业余 选手 !) 。 如 果 没 有 找到 四 个 连续 的 
/16 网 络 ， 则 不 得 不 分 配 四 个 非 连续 的 /16 网 络 ; 这 会 使 路 由 表 和 路 由 协议 更 新 表 项 
增加 4 倍 的 额外 负担 〈 四 个 /16 网 络 对 一 个 /14 网 络 一 一 新 手 !)。 采 用 连续 的 二 分 法 ， 
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而 不 是 均匀 单一 尺寸 的 分 割 方法 ， 更 可 能 存在 一 个 /14 网 络 可 用 于 分 配 。 让 我 们 看 看 
这 是 如 何 做 到 的 。 
如 果 我 们 从 10. 0. 0. 0/12 基础 设施 地 址 块 开始 ， 并 将 之 二 分 ， 得 到 如 下 所 示 的 两 
个 /13 地 址 块 。 利 用 二 进 制 运算 的 特点 ， 将 下 一 个 “主机 ”比特 关联 到 网 络 ， 就 会 将 
原始 网 络 二 分 。 注 意 10.0.0.0/12 网 络 不 再 存在 ， 所 以 我 们 将 其 背景 涂 灰 来 说 明 这 
它 已 经 被 分 成 两 个 /13 网 络 。 
原始 网 络 10.0.0.0/12 00001010 00000000 00000000 00000000 
前 一 半 ”10.0.0.0/13 00001010 00000000 00000000 00000000 
后 一 半 “10.8.0.07X13 00001010 00001000 00000000 00000000 
接 下 来 ， 我 们 将 上 面 的 “前 一 半 ” 二 分 ， 留 下 10. 8.0. 0/13 地 址 块 为 未 来 用 途 或 
基础 设施 应 用 (或 收购 合并 !) 的 子 网 划分 。 现 在 我 们 将 地 址 的 网 络 部 分 扩展 到 第 
14bit， 从 而 将 10.0.0.0/13 二 分 , 得 到 如 下 的 两 个 /14 网络 。 注 意 到 这 和 处 理 
10. 0. 0. 0/12 网 络 一 样 10.0.0.0/13 网 络 也 不 再 作为 一 个 实体 存在 ， 所 以 也 将 其 背 
景 涂 灰 。 它 被 分 割 成 两 个 /14 网 络 ， 如 下 所 示 。 但是, 依据 需要 ,该 机 构 可 将 
10. 8. 0. 0/13 网 络 用 于 进一步 的 分 配 。 


原始 网 络 10. 0.0.0/12 00001010 00000000 00000000 00000000 
原始 网 络 的 前 一 半 10. 0.0.0/13 00001010 00000000 00000000 00000000 
第 一 个 /14 10. 0.0.0/14 00001010 00000000 00000000 00000000 
第 二 个 /14 10. 4.0.0/14 00001010 00000100 00000000 00000000 


原始 网 络 的 后 一 半 10. 8.0.0/13 00001010 00001000 00000000 00000000 
从 整体 分 配角 度 看 ， 将 这 个 二 分 过 程 可 视 化 的 一 种 方式 是 ， 将 地 址 空间 看 作 一 个 
饼 图 ， 如 图 3-3 所 示 。 如 果 我 们 的 整个 大 饼 代 表 基 础 网 络 10. 0. 0. 0/12 ， 那 么 我 们 将 
之 二 分 ,产生 两 个 [13 网络， 如 图 3-3 左 侧 所 示 。 之 后 ， 将 一 个 /13 网 络 留 作 “ 可 用 ” 
空间 (〈 左 侧 的 一 半 ) ， 并 将 另 一 个 /13 网 络 〈 右 侧 的 一 半 ) 分 成 两 个 /14 网络 ， 如 图 
3-3 右 侧 一 半 所 示 。 


整个 饼 图 :10.0.0.0/12 整个 饼 图 :10.0.0.0/12 
1048574 IP 地 址 1048574 IP 地 址 


10.4.0.0/14 
262 144 IPs 


10.8.0.0/13 10.0.0.0/13 


10.8.0.0/13 
524 288 IP 地 址 | 524 288 IP 地 址 524 288 IP 地 址 


10.0.0.0/14 
262 144 IPs 


图 3-3 地址 分 配 的 饼 图 (依据 参考 文献 [11, 166]) 
继续 使 用 这 个 逻辑 ， 直 到 得 到 一 个 /16 网 络 的 情形 ， 我 们 得 到 如 下 过 程 : 


N 
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原始 网 络 10. 0. 0. 0/12 00001010 00000000 00000000 00000000 
前 一 半 (Z13) 10.0. 0. 0/13 00001010 00000000 00000000 00000000 
第 一 个 /14 10. 0. 0. 0/14 00001010 00000000 00000000 00000000 
第 一 个 /15 10. 0. 0. 0/15 00001010 00000000 00000000 00000000 
第 一 个 /16 10. 0. 0. 0/16 00001010 00000000 00000000 00000000 
第 二 个 /16 10. 1. 0. 0/16 00001010 00000001 00000000 00000000 
第 二 个 /15 10. 2. 0. 0/15 00001010 00000010 00000000 00000000 
第 一 个 /14 10. 4. 0.0/14 00001010 00000100 00000000 00000000 


后 一 半 (Z13) 10. 8. 0. 0/13 00001010 00001000 00000000 00000000 
当 每 个 “第 一 ”地 址 块 被 分 割 时 ， os 
的 两 个 网 络 。 既 然 我 们 执行 了 这 种 分 割 ， 则 得 到 两 个 /16 网 络 : 10.0.0.0/16 和 
a 还 有 一 
个 /15、 一 个 /14 和 一 个 /13 地 址 块 可 以 使 用 。 en ra anes fae 
个 ”集合 被 连续 地 分 割 成 相等 的 两 份 ， 这 样 得 到 的 “第 一 个 ”网 络 再 进一步 分 割 ， 
“第 二 个 ”网 络 可 保留 为 其 他 的 未 来 分 配 或 指派 。 ie “第 一 个 ”网 络 ， 即 
10. 0. 0.0/16， 是 满足 要 求 尺寸 的 、 可 分 配 的 一 个 网 络 。 
10. 0. 0.0/16 00001010 00000000 00000000 00000000 
10. 1. 0. 0/16 00001010 00000001 00000000 00000000 
10. 2. 0. 0/15 00001010 00000010 00000000 00000000 
10. 4. 0. 0/14 00001010 00000100 00000000 00000000 
10. 8. 0. 0/13 00001010 00001000 00000000 00000000 
但 IPAM 全 球 公司 要 求 第 三 个 /16 网 络 。 我 们 应 该 从 哪个 地 址 块 中 分 配 这 个 网 络 
my Sa 如 较 大 的 地 址 块 的 建议 相 一 致 ， 我 们 将 取 最 小 尺寸 的 下 一 个 可 用 网 络 进 
行 分 配 。 在 我 们 的 情形 中 ， 从 上 面 的 列表 看 出 ，10. 2. 0. 0715 网 络 可 用 于 进一步 的 分 
配 。 如 果 我 们 将 这 个 /15 网 络 分 成 两 个 /16 网络， 则 得 到 10. 2. 0.0/16 和 10. 3. 0.00/16, 


之 后 我 们 将 按照 前 面 所 展示 说 明 的 步 又， 整个 们 图 :10.0.0.0/12 
将 这 ea a a eee 1,048,574 IP 地 址 


并 将 后 一 个 网 络 用 于 未 来 分 配 。 得 到 的 饼 
图 如 图 3-4 所 示 ， a 

注意 ,我 们 仍然 有 许多 大 型 地 址 块 可 
T E e be 
中 较 暗 阴影 狗 形 部 分 组 成 已 被 分 配 的 三 个 / 
16 网 络 。 与 上 部 的 表 中 后 续 分 割 有 关 的 饼 


10.4.0.0/14 
262 144 IPs 


10.8.0.0/13 
524 288 IP 地 址 


10.3.0.0/16 
65 534 IPs 


图 之 中 ， 在 每 个 “第 一 个 ”二 分 之 一 地 址 ss suis 
块 是 被 指派 的 或 被 分 割 成 更 小 的 分 配 ， 它 6 65 Saale 
得 到 一 个 对 应 的 “第 二 个 ”二 分 之 一 地 址 65 534 


块 ， 该 块 仍 然 是 空闲 的 或 可 用 的 。 因 此 ， 图 3-4 从 /12 空间 分 配 三 个 /16 网 络 空间 
依据 这 个 初始 分 配 ， 得 到 的 IPAM 全 球 公 司 (依据 参考 文献 [11, 166]) 
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地 址 分 配 如 下 : 
原始 基础 设施 (IS) 块 10. 0. 0. 0/12 00001010 00000000 00000000 00000000 
空闲 的 IS 块 10. 8. 0. 0/13 00001010 00001000 00000000 00000000 
空闲 的 IS 块 10. 4. 0. 0/14 00001010 00000100 00000000 00000000 
北美 IS 块 10. 0. 0. 0/16 00001010 00000000 00000000 00000000 
欧洲 IS 块 10. 1. 0. 0/16 00001010 00000001 00000000 00000000 
亚洲 IS 块 10. 2. 0. 0/16 00001010 00000010 00000000 00000000 
空闲 IS Be 10. 3. 0. 0/16 00001010 00000011 00000000 00000000 


对 于 数据 和 语音 顶层 地 址 分 配 10. 16. 0.0/12 和 10. 32. 0. 0/12 4} Fil) it HB AE We 
辑 ， 可 推演 得 到 如 下 分 配 : 
原始 语音 应 用 的 地 址 块 10. 16. 
空闲 的 语音 应 用 的 地 址 块 10. 24. 
空闲 的 语音 应 用 的 地 址 块 ”10. 20. 
北美 的 语音 应 用 的 地 址 块 10. 16. 


0.0/12 00001010 00010000 00000000 00000000 
0.0/13 00001010 00011000 00000000 00000000 
0.0/14 00001010 00010100 00000000 00000000 
0.0/16 00001010 00010100 00000000 00000000 
欧洲 的 语音 应 用 的 地 址 块 ”10. 17.0.0/16 00001010 00010001 00000000 00000000 
亚洲 的 语音 应 用 的 地 址 块 ”10. 18. 0.0/16 00001010 00010010 00000000 00000000 
空闲 的 语音 应 用 的 地 址 块 ”10. 19. 0.0/16 00001010 00010011 00000000 00000000 

0 

0 

0 

0 

0 

0 


原始 数据 应 用 的 地 址 块 10. 32.0.0/12 00001010 00100000 00000000 00000000 
空闲 的 数据 应 用 的 地 址 块 ”10. 40. 0.0/13 00001010 00101000 00000000 00000000 
空闲 的 数据 应 用 的 地 址 块 ”10. 36. 0.0/14 00001010 00100100 00000000 00000000 
北美 数据 应 用 的 地 址 块 。 10. 32. 0.0/16 00001010 00100000 00000000 00000000 
欧洲 数据 应 用 的 地 址 块 10. 33. 0.0/16 00001010 00100001 00000000 00000000 
亚洲 数据 应 用 的 地 址 块 。 10. 34. 0.0/16 00001010 00100010 00000000 00000000 
空闲 的 数据 应 用 的 地 址 块 ”10.35.0.0X16 00001010 00100011 00000000 00000000 
在 这 个 核心 层次 剩 下 的 唯一 步 又 是 为 核心 路 由 需 自 身分 配 基 础 设施 空间 。 毕 竞 核 
心 网 络 是 要 求 一 个 正 子 网 地 址 的 一 个 网 络 ， 它 位 于 我 们 的 洲际 间 地 址 分 配 “之 上 ”。 
对 于 这 个 子 网 ， 我 们 将 划 出 一 个 /26 子 网 。 这 个 尺寸 的 子 网 提供 62 个 主机 地 址 ， 它 
为 公司 发 展 提供 了 足够 的 容量 。 让 我 们 从 最 小 的 空闲 基础 设施 地 址 块 10. 3. 0.0/16 中 
分 配 这 文 个 子 网 。 遵 循 刚 才 应 用 的 类 似 逻 辑 ， 我 们 向 核心 骨干 网 络 分 配 10. 3. 0.0/26 网 
络 。 得 到 可 用 于 未 来 分 配 的 几 个 空闲 地 址 块 : 
原始 IS 地 址 1 10.3.0.0/16 00001010 00000011 00000000 00000000 
空闲 IS 地 址 ] 10. 3. 128.0/17 00001010 00000011 10000000 00000000 
空闲 IS 地 址 ] 10. 3.64.0/18 00001010 00000011 01000000 00000000 
空闲 IS 地 址 ] 10. 3. 32.0/19 00001010 00000011 00100000 00000000 
空闲 IS 地 址 ] 10. 3. 16.0/20 00001010 00000011 00010000 00000000 
3 
3 
3 


空闲 IS 地 址 : 10. 3. 8.0/21 00001010 00000011 00001000 00000000 
空闲 IS 地址 10. 3. 4. 0/22 00001010 00000011 00000100 00000000 
空闲 IS 地 址 : 10. 3. 2. 0/23 00001010 00000011 00000010 00000000 


ob OE OOOO 


PT 


第 3 章 ， 了 P 地 址 分 配 37 


空闲 IS 地 址 块 10. 3. 1. 0/24 00001010 00000011 00000001 00000000 
空闲 IS 地 址 块 10. 3. 0. 128/25 00001010 00000011 00000000 10000000 
空闲 IS 地 址 块 10. 3. 0. 64/26 00001010 00000011 00000000 01000000 
核心 网 IS 地 址 块 ”10. 3. 0. 0/26 00001010 00000011 00000000 00000000 


3.1.3 ”地址 分 配 第 3 部 分 


既然 在 项 层 依据 应 用 分 配 了 地 址 空间 ， 那 么 在 核心 网 络 层 次 ， 每 个 这 样 的 地 址 分 
配 可 被 进一步 划分 ， 从 而 满足 必要 的 配送 中 心 和 分 支 办 事 处 的 需求 。 本 质 上 ， 这 些 地 
址 分 配 用 作 相应 区 域内 部 为 给 定 应 用 分 配 的 地 址 块 或 地 址 池 。 这 种 自 顶 向 下 分 配 的 技 
术 可 确保 从 这 些 初始 分 配 的 后 续 分 配 将 可 层次 化 地 逐 层 折 和 县 汇聚 。 因 此 ， 我 们 的 核心 
路 由 器 可 简单 地 向 其 他 核心 路 由 器 通告 它们 的 /16 分 配 。 同 样 ， 任 何 特定 的 依据 服务 
报 文 的 处 理 措 施 也 可 容易 地 进行 配置 。 例 如 ， 如 果 想 以 最 高 优先 级 措施 处 理 语音 报 
文 ， 那 么 我 们 可 配置 我 们 的 路 由 器 ， 对 于 以 相应 语音 应 用 地 址 空间 [例如 用 于 欧洲 
语音 流量 的 10.17.0.0/16 (或 用 于 所 有 语音 流量 的 10. 16.0.0/12) ] 的 地 址 为 源 地 址 
的 报 文 提供 这 种 处 理 。 巾 此 初始 定义 ， 在 不 影响 这 种 处 理 逻 辑 的 条 件 下 ， 现 在 可 沿 地 
理 的 逻辑 线 逐 步 缩小 区 域 的 方式 进一步 分 配 。 

让 我 们 深入 研究 北美 数据 的 地 址 空间 10. 32. 0. 0/16 。 从 前 面 图 3-1 给 出 的 位 置 表 
中 ， 看 到 北美 站 点 被 组 织 成 三 个 区 域 ， 东 部、 中 部 和 西部 。 我 们 也 希望 为 各 分 部 分 碧 
独立 的 地 址 空间 。 假 定 路 由 拓扑 与 这 个 地 理 机 构 是 一 致 的 ， 则 我 们 将 据 此 分 配 地 址 空 
间 。 因 此 , 一 个 WAN (广域网 ) 将 费城 、 堪 萨 斯 城 和 旧金山 的 北美 区 域 各 站 点 与 分 
部 互联 起 来 。 这 个 区 域 型 的 互联 结构 代表 了 一 个 “ 亚 核 心 ”网 络 ， 和 顶层 结构 一 样 ， 
对 此 网 络 施 用 类 似 的 分 配 逻 辑 。 

让 我 们 将 10. 32. 0. 0/16 地 址 块 划分 成 四 个 区 域 地 址 块 。 为 了 均匀 地 分 配 ， 需 要 
将 这 个 空间 分 成 四 个 地 址 块 。 所 以 需要 分 配 北美 数据 的 地 址 空间 中 接 下 来 的 2bit 
(2 =4) ， 在 如 下 的 二 进 制 表示 中 突出 显示 为 较 大 字体 的 黑 斜 体 比特 。 

北美 数据 10. 32.0.0/16 00001010 00010000 00000000 00000000 

北美 分 部 数据 10. 32. 0.0/18 00001010 00010000 00000000 00000000 

北美 东部 数据 10. 32. 64.0/18 00001010 00010000 01000000 00000000 

北美 西部 数据 10. 32. 128.0/18 00001010 00010000 10000000 00000000 

北美 中 部 数据 10. 32. 192.0/18 00001010 00010000 11000000 00000000 
虽然 这 会 得 到 相等 尺寸 的 分 配 ， 但 我 们 不 必 按 照 2 REHEAT OP (依据 我 们 所 
说 明 的 情形 ) 。 我 们 刚才 容易 地 将 一 个 较 大 地 址 部 分 分 配给 了 东部 ， 原 因 是 它 包 含 了 
最 多 的 站 点 : 10.32.0.0/17 (东部 )、10.32.160.0/19 〈 中 部 )2 、10. 32. 192. 0/19 
(西部 ) 和 10. 32. 220.0/19 [分 部 (HQ) ] 。 

从 这 点 看 来 ， 依 据 寻 址 需要 ， 我 们 可 从 每 个 区 域 的 地 址 空间 中 向 其 相应 的 站 点 分 
配 地 址 。 考 虑 北美 西部 数据 的 地 址 空间 10. 32. 128. 0/18， 现 在 可 为 每 个 配送 中 心 和 分 


4 a 


© RPA “10.32. 160.0.0/19", 多 了 一 个 “0”。 一 一 译 者 注 
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支 办 事 处 的 数据 应 用 分 配 空间 。 这 种 分 配 的 最 简单 策略 是 均匀 分 布 ， 例 如 ， 就 像 我 们 
在 顶部 分 配 层次 所 实施 的 方法 一 样 ， 为 每 个 站 点 分 配 相 同 尺 寸 的 地 址 块 。 但是， 人们 
需要 考虑 每 个 站 点 的 用 户 数量 和 数据 设备 数量 ,规划 每 个 站 点 的 增长 ， 在 区 域内 部 规 
划 新 的 站 点 ， 同 时 考虑 应 用 联网 的 需求 。 在 IPAM 全 球 公 司 的 案例 中 ， 典 型 情况 下 ， 
各 配送 中 心安 置 有 65 名 雇员 ， 还 有 其 他 自动 化 机 器 和 基础 设施 ， 总 共 需 要 IP 地 址 约 
200 ~ 250 个 。 分 支 办 事 处 仅 需要 约 150 ~ 200 个 IP 地 址 ， 包 括 有 关 的 笔记 本 计算 机 、 
PDA 以 及 其 他 数据 设备 ， 平 均 为 40 名 雇员 所 用 。 

在 这 样 一 个 场景 中 ， 为 配送 中 心 至 少 分 配 一 个 /23 网 络 (可 提供 510 AnH P H 
址 ) 和 为 分 支 办 事 处 分 配 一 个 /24 网 络 (提供 254 个 P 地址 ) 是 合理 的 。 但 是 ， 考 
虑 到 每 个 站 点 相应 的 寻 址 需求 ， 应 该 分 别 对 每 个 站 点 进行 分 析 。 在 我 们 的 情形 中 ， 首 
先 要 为 每 个 配送 中 心 分 配 一 个 /23 网络， 之 后 为 每 个 分 支 办 事 处 分 配 一 个 /24 网 络 。 
如 下 所 示 给 出 这 个 分 配 ， 还 有 源 于 原始 10. 32. 128. 0/18 网 络 的 剩余 空闲 空间 ， 这 可 


用 于 未 来 的 分 配 。 
北美 西部 数据 10. 32. 128.0/18 00001010 00100000 10000000 00000000 
旧金山 站 点 10. 32. 128.0/23 00001010 00100000 10000000 00000000 
丹佛 站 点 10. 32. 130. 0/23 00001010 00100000 10000010 00000000 
温哥华 站 点 10. 32. 132. 0/23 00001010 00100000 10000100 00000000 


菲尼克斯 站 点 10. 32. 134.0/23 00001010 00100000 10000110 00000000 
卡尔 加 里 站 点 10. 32. 136.0/24 00001010 00100000 10001000 00000000 
阿尔 布 开 克 站 点 10. 32. 137.0/24 00001010 00100000 10001001 00000000 


盐湖 城 站 点 10. 32. 138.0/24 00001010 00100000 10001010 00000000 
博 尔 德 站 点 10. 32. 139.0/24 00001010 00100000 10001011 00000000 


埃 德 蒙 顿 站 点 10. 32. 140.0/24 00001010 00100000 10001100 00000000 
萨克拉门托 站 点 ”10.32. 141.0/24 00001010 00100000 10001101 00000000 
阿 纳 海 姆 站 点 10. 32. 142.0/24 00001010 00100000 10001110 00000000 


空闲 空间 10. 32. 143.0/24 00001010 00100000 10001111 00000000 
空闲 空间 10. 32. 144.0/20 00001010 00100000 10010000 00000000 
空闲 空间 10. 32. 160.0/19 00001010 00100000 10100000 00000000 


针对 总 部 位 置 ， 我 们 为 每 个 主要 的 公司 分 部 分 配 /22 网 络 。 依 据 联网 部 署 情况 ， 
这 些 分 配 可 进一步 划分 子 网 。 


3.1.4 分 配 均 衡 和 跟踪 


随 着 在 地 址 分 配 层次 结构 中 添加 较 多 层次 ， 地 址 的 网 络 部 分 就 会 增长 ， 同 时 就 缩 
减 了 可 指派 给 IP 设备 的 主机 所 用 比特 的 数量 。 前 面 表 中 列 出 的 每 个 站 点 都 有 8 或 9 
个 可 用 主机 比特 ,分 别 为 每 个 站 点 提供 了 254 或 510 个 独立 的 人 P 主 机 容量 。 结 构 化 
的 分 层 法 使 将 地 址 空间 映射 到 应 用 、 区 域 并 最 终 到 子 网 的 做 法 成 为 可 能 ， 有 助 于 保留 
地 址 汇总 (对 应 于 路 由 器 拓扑 和 部 署 ) 。 考 虑 在 每 个 站 点 需要 多 少 个 IP 地 址 容量 ， 并 
将 此 容量 与 期 望 多 少 结构 层次 综合 考虑 ， 这 种 做 法 是 不 错 的 想法 。 
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每 个 子 网 的 独立 IP 地 址 容量 需求 ， 将 有 助 于 您 得 到 端点 2 的 分 配 尺 寸 。 许 多 组 织 
机 构 计 划 为 每 个 端子 网 在 一 个 /24 分 配 中 分 配 254 台 主 机 (地址)。 如 果 需 要 可 分 配 
多 个 子 网 。 使 用 这 个 字 节 边界 的 做 法 ， 有 助 于 简化 从 二 进 制 到 十 进 制 转换 的 工作 
(如 上 面 小 节 中 看 到 的 情况 ) ， 但 由 于 地 址 容量 需求 ， 这 种 做 法 对 您 的 组 织 机 构 可 能 
是 行 不 通 的 。 如 果 您 需要 越过 字 节 边界 进行 分 配 ， 则 使 用 一 个 P 地 址 管理 工具 也 许 
有 助 于 确保 分 配 的 准确 性 (在 没有 重 又 的 情况 下 )， 同 时 保持 了 地 址 的 层次 结构 。 

无 论 您 是 否决 定 使 用 一 个 IP 管理 系统 ， 都 必须 跟踪 记录 地 址 分 配 的 情况 。 为 了 
形象 地 说 明 一 种 简单 的 跟踪 记录 方法 ,我 们 重 写 了 本 章 开始 处 给 出 的 表格 ， 该 表格 列 
出 了 IPAM 全 球 公司 的 网 络 位 置 ， 它 反映 了 相应 的 地 址 块 分 配 。 在 下 面 给 出 的 图 3-5 
所 示 的 更 新 版 中 ， 在 同一 站 点 列 中 列 出 了 配送 中 心 和 分 支 办 事 处 ， 在 前 边 以 一 种 浅 阴 
影 字体 列 出 配送 中 心 。 

针对 每 个 区 域 ， 在 每 个 结构 层次 组 成 地 址 池 (供应 ) 的 顶层 结构 地 址 块 是 突出 
显示 的 ， 为 的 是 将 它们 与 子 网 做 出 区 分 。 为 了 使 这 件 事 做 起 来 简单 ， 我 们 遵循 一 种 常 
用 分 配方 法 ， 为 每 个 配送 中 心 分 配 一 个 /23 网 络 ， 为 每 个 分 支 办 事 处 分 配 一 个 /24 网 
络 。 我 们 仅 形 象 说 明了 表格 中 给 出 的 一 个 小 型 子 网 ， 但 相同 的 方法 论 可 用 于 欧洲 站 点 
和 亚洲 站 点 ， 同 样 适 用 于 语音 和 数据 应 用 。 

这 种 分 配 形式 的 一 个 便捷 的 作用 是 得 到 这 样 一 种 能 力 ， 即 容易 地 将 一 个 地 址 与 一 
个 位 置 关联 起 来 。 例 如 ， 知 道 10. 0.79.0/24 是 奥 尔 巴 尼 的 基础 设施 子 网 ， 那 么 人 们 
就 可 推断 10. 16. 79. 0/24 是 VoIP 子 网 ，10. 32. 79.0/24 是 数据 子 网 。 一 眼 就 可 看 出 ， 
10. X. Y. 0 网 络 的 这 种 字 节 模式 将 应 用 (SX) 和 位 置 ( 字 节 了) 映射 关联 起 来 。 
在 我 们 的 范例 中 ， 字 节 XX 为 0 指 基础 设施 ，16 指 VoIP，32 指数 据 。 在 这 个 范例 中 ， 
字 节 了 为 79 指 奥 尔 巴 尼 。 


区 域 区 域 的 站 点 站 点 基础 设施 网 VoIP 网 数据 网 
公司 总 部 费城 10. 0. 0. 0/12 10. 16.0.0/12 | 10. 32. 0. 0/12 
北美 分 部 费城 10. 0. 0. 0/12 10. 16.0.0/12 | 10. 32. 0. 0/12 

核心 网 10. 3. 0. 0/26 

费城 一 一 行政 10. 0. 0. 0/22 10. 16.0.0/22 | 10. 32.0.0/22 

费城 一 一 财务 10. 0. 4. 0/22 10. 16.4.0/22 | 10.32.4.0/22 

费城 一 一 运行 10. 0. 8. 0/22 10. 16. 8.0/22 | 10. 32. 8. 0/22 

费城 一 一 技术 10.0.12.0/22 | 10.16.12.0/22 | 10. 32. 12. 0/22 

费城 一 一 营销 10. 0.16.0/22 | 10.16.16.0/22 | 10.32.16.0/22 

费城 一 一 研发 10. 0.20.0/22 | 10.16.20.0/22 | 10.32.20.0/22 

北美 一 一 东部 | WENA 10.0.64.0/18 | 10.16.64.0/18 | 10.32. 64. 0/18 
诺 里 斯 敦 10. 0. 64.0/23 | 10. 16.64.0/23 | 10. 32. 64. 0/23 

图 3-5 IPAM 全 球 公司 的 IPv4 地 址 块 分 配 (部 分 分 配 ) 


© Endpoint: 端点 ， 即 桩 网 络 。 一 一 译 者 注 
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区 域 区 域 的 站 点 站 点 基础 设施 网 VoIP 网 数据 网 
多 伦 多 10. 0. 66.0/23 | 10. 16.66.0/23 | 10. 32. 66. 0/23 
纳 舒 厄 10. 0. 68. 0/23 | 10. 16.68.0/23 | 10.32.68.0/23 
APL 10. 0.70.0/23 | 10.16.70.0/23 | 10. 32. 70. 0/23 
巴尔 的 摩 10. 0.72.0/23 | 10. 16.72. 0/23 | 10. 32. 72. 0/23 
匹兹堡 10. 0.74.0/23 | 10.16.74.0/23 | 10.32.74.0/23 
夏 洛 特 10. 0.76.0/23 | 10. 16.76.0/23 | 10. 32. 76. 0/23 
亚特兰大 10. 0.77.0/24 | 10. 16.77.0/24 | 10.32. 77. 0/24 
普罗 维 登 斯 10. 0.78.0/24 | 10.16.78.0/24 | 10.32.78. 0/24 
昆 西 10. 0.79.0/24 | 10.16.79.0/24 | 10.32.79.0/24 
奥 尔 巴 尼 10. 0. 80.0/24 | 10. 16.80.0/24 | 10. 32. 80. 0/24 
曼哈顿 10. 0.81.0/24 | 10. 16.81.0/24 | 10.32. 81. 0/24 
海洋 城 10. 0. 82.0/24 | 10. 16.82.0/24 | 10. 32. 82. 0/24 
雷 斯 顿 10. 0. 83.0/24 | 10. 16.83.0/24 | 10. 32. 83. 0/24 
Eti 10. 0. 84.0/24 | 10. 16.84. 0/24 | 10.32. 84. 0/24 
查尔斯 顿 10. 0. 85.0/24 | 10. 16.85.0/24 | 10. 32. 85. 0/24 
蒙哥马利 10. 0. 86.0/24 | 10. 16.86.0/24 | 10. 32. 86.0/24 
北美 一 一 中 部 | “堪萨斯 城 10. 0. 192.0/18 | 10. 16. 192. 0/18 |10. 32. 192. 0/18 
堪萨斯 城 10. 0. 192.0/23 | 10. 16. 192. 0/23 | 10. 32. 192. 0/23 
芝加哥 10. 0. 194. 0/23 | 10. 16. 194. 0/23 | 10. 32. 194. 0/23 
得 梅 因 10. 0. 196. 0/23 | 10. 16. 196. 0/23 |10. 32. 196. 0/23 
孟菲斯 10. 0. 198. 0/23 | 10. 16. 198. 0/23 |10. 32. 198. 0/23 
新 奥尔良 10. 0. 200. 0/23 | 10. 16. 200. 0/23 | 10. 32. 200. 0/23 
图 3-5 IPAM 全 球 公司 的 IPv4 地 址 块 分 配 (部 分 分 配 ) ( 续 ) 


3.1.5 IPAM 全 球 公 司 的 公开 地 址 空间 
现在 让 我 们 看 看 从 ISP 得 到 的 IPAM 全 球 公 司 的 公开 地 址 空间 192. 0. 2.0/24。 在 


事 处 有 一 条 到 
mae TEAR 


=I 


本 章 后 面 我 们 将 讨论 ISP 用 来 得 到 IP HAE H A at 


ry 


9 


Eo IPAM 全 球 公 司 在 费城 总 部 办 
| 所 选择 ISP 的 因特网 连接 。 虽 然 两 条 不 同 路 由 的 本 地 环 路 提供 一 定 程度 
但 未 来 计划 要 求 从 另 一 个 地 址 提供 对 多 穴 连 接 的 支持 ， 我 们 也 将 在 稍 


后 讨论 这 点 。 目 前 在 /24 网 络 内 部 的 254 个 可 用 公开 IP 地 址 ， 将 用 于 寻 址 因特网 (外 
部 ) 可 达 的 主机 (例如 web 和 电子 邮件 服务 器 ) ， 一 个 共享 的 地 址 池 使 内 部 客户 能 够 


访问 
访问 


地 址 分 隔 开 来 。 


因特网 。 安 装 了 一 对 NAT 设备 ， 支 持 负载 均衡 共享 和 地 址 转换 ， 月 
因特网 。 事 实 上 ， 这 个 /24 网 络 将 可 能 需要 划分 子 网 ， 将 因特网 可 达 主 机 和 NAT 


昌 于 内 部 客户 
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3.2 IPv6 debts) mO 


虽然 IPv6 地 址 的 表示 不 同 于 IPv4 地 址 ， 但 从 本 质 上 而 言 ， 分 配 过 程 的 工作 原理 
是 相同 的 。 主 要 区 别 在 于 IPv6 十 六 进 制 和 二 进 制 之 间 的 相互 转换 ，IPv4 则 是 十 进 甫 
和 二 进 制 之 间 的 相互 转换 。 上 述 针 对 IPw 的 最 小 可 用 空闲 地 址 块 的 最 优 指派 过 程 ， 
是 最 佳 拟 合 分 配 算法 的 一 个 范例 。 由 于 可 用 地 址 空间 的 巨大 差异 ，IPv6 不 仅 支 持 一 
个 类 似 的 最 佳 拟 合算 法 ， 而 且 支 持 一 个 稀 玻 分 配方 法 。 我 们 也 讨论 一 种 随机 分 配方 
法 ， 可 用 来 替换 从 1 开始 逐步 增加 的 简单 子 网 地 址 分 配 法 。 

在 本 节 我 们 使 用 范例 IPv6 网 络 2001: DB8:: /32， 概 要 描述 这 里 所 说 的 每 个 算 
法 。 注 意 ，/32 (或 任何 ) 一 一 尺寸 大 小 的 全 局 单 播 分 配 ， 都 要 求 向 一 个 区 域 因 特 网 
注册 权威 机 构 (RIR) 提前 认证 申请 ， 我 们 将 在 本 章 后 面 讨 论 这 点 ， 像 IPAM 全 球 公 
司 这 样 的 一 个 组 织 机 构 不 太 可 能 接受 这 样 的 一 种 分 配 。 但 是 ， 最 初 在 我 们 的 范例 中 将 
使 用 这 样 的 一 种 分 配 ， 这 样 使 比特 数 不 会 超出 页 面 ( 即 显示 不 了 ) 。 后 面 我 们 将 使 用 
一 个 比较 实际 的 /48 范例 分 配 。 对 于 以 /32 或 /48 开始 的 算法 将 是 等 价 的 ， 对 于 /48 网 
络 而 言 ， 仅 是 有 更 多 的 中 间 0 前 缀 比特 而 已 。 


3.2.1 最 佳 拟 合 分 配 


使 用 一 种 最 佳 拟 合 方法 ， 我 们 将 遵循 前 面 针 对 IPv4 描述 的 同样 的 基本 按照 比特 
分 配 的 算法 。 在 将 十 六 进 制 转换 为 二 进 制 之 后 ， 就 后 续 的 二 分 法 ， 即 将 地 址 的 下 一 比 
特 用 于 网 络 部 分 的 方法 而 言 ， 这 个 过 程 是 完全 相同 的 。 例 如 ， 下 面 考虑 我 们 的 范例 网 
络 2001: 0DB8:: /32。 
0010 0000 0000 0001 0000 1101 1011 1000 0000 0000 0000 0000 0000… 
假定 ， 我 们 将 从 这 个 空间 分 配 三 个 /40 网络。 从 二 进 制 角度 来 看 ， 遵 循 类 似 IPv4 
分 配 范例 的 方法 ， 后 续 地 将 地 址 空间 逐步 二 分 到 一 个 /40 大 小 ， 如 下 较 大 黑 斜 体 比 特 
所 示 ， 您 应 该 得 到 如 下 信息 : 
001000000000000100001101101110001000 0000000000000000. . 
001000000000000100001 10110111000 0100 0000000000000000. . 
00100000000000010000110110111000 00100000000000000000. . 
00100000000000010000110110111000 00010000000000000000. . 
00100000000000010000110110111000 00001000000000000000. . 
001000000000000100001 10110111000 00000100000000000000. . 
00100000000000010000110110111000 00000010000000000000. . 
00100000000000010000110110111000 00000001000000000000. . 


00100000000000010000110110111000 00000000000000000000. . 
这 里 我 们 已 经 有 两 个 /40 网 络 可 用 (上 面 突出 显示 的 )， 并 将 这 两 个 网 络 转换 为 


= 


© IEAk IP 分 配 的 讨论 依据 参考 文献 [172 ] 。 
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十 六 进 制 ， 则 我 们 得 到 2001: 0DB8 : 0100: 


: /40 和 2001: 0DB8: 0000: /40 (BẸ 


2001: DB8:: /40) 。 在 此 分 配 之 后 ， 使 用 最 但 


拟 合 方法 来 分 配 第 三 个 [40 网 络 ， 则 可 


取 下 一 个 最 小 的 可 用 网 络 ， 在 这 种 情形 中 是 一 个 /39 网 络 ， 将 其 分 成 两 个 /40 网 络 : 
0010 0000 0000 0001 0000 1101 1011 1000 0000 0010 0000 0000 0000 
0010 0000 0000 0001 0000 1101 1011 1000 0000 0011 0000 0000 0000 
通过 取 下 一 个 比特 ,将 这 个 网 络 二 分 ， 得 到 两 个 /40 网络。 我们 可 选择 一 个 网 络 
加 以 分 配 ， 另 外 一 个 网 络 将 用 于 未 来 的 地 址 指派 。 所 以 我 们 分 配 的 三 个 /40 网 络 是 
2001: DB8:: /40、2001: DB8: 0100:: /40 和 2001: DB8: 0200:: /40。 另 一 个 /40 


网 络 ， 即 2001: DB8: 0300/40 可 用 
于 未 来 的 地 址 分 配 。 图 3-6 以 一 种 饼 
图 形式 形象 化 地 说 明了 这 个 连续 的 
二 分 过 程 。 

在 分 配 这 三 个 /40 网 络 之 后 ， 如 


图 3-6 中 突出 显示 的 ， 饼 图 的 剩余 部 2001:DB8:8000::/33 


分 可 用 于 (未 来 的 ) 地 址 分 配 。 在 
上 面 列 出 的 连续 二 分 过 程 中 ， 这 些 
可 用 网 络 作为 项 部 六 项 出 现 ， 还 有 


整个 饼 图 :2001:DB8::/32 
7.9X1028 IP 地 址 


001:DB8:4000::/3 
21028 IP 地 址 


4X1028 TP 地 址 2001:DB8:2000::/35 


/3 
1X1028 A 
/2001:DB8:1000::;/36 


5X1027 IP 地 址 


前 一 个 网 络 2001: DB8: 200:: /39 2001:DB8:800::/37 
a jas i ears 2001:DB8::/40 tee 
未 分 配 的 前 半 部 分 。 ALD Oe A 2001:DB8:400::/38 
2001:DB8:200::/40 Reo k aa 
3.2.2 ARNA en 3X10% IP EHE 


从 以 前 的 算法 中 注意 到 ,通过 图 3-6 
从 一 个 /32 网 络 分 配 一 个 /40 网 络 的 
方法 ， 我 们 递增 地 将 网 络 长 度 扩 展 到 第 40bit， 


言 ， 以 此 法 处 理 每 个 比特 ， 考 虑 “1” 代 表 空 
日 是 ， 如 果 我 们 退 一 步 看 ， 将 8 AFA ID 比 


—~ 


从 一 个 /32 网 络 切 分 出 三 个 /40 网 络 的 分 


配 结果 (依据 参考 文献 [11] 和 [166] ) 


这 和 IPv4 分 配 的 过 程 相 同 。 之 后 ， 我 


们 将 一 个 0 或 1 指派 给 第 40bit， 而 将 该 网 络 指派 为 我 们 的 前 两 个 /40 网 络 。 本 质 上 而 


闲 地 址 块 , “0” 代 表 已 分 配 的 地 址 块 。 
特 (将 /32 扩展 到 /40) 看 作 一 个 整体 ， 


这 种 做 法 并 不 是 递增 的 二 分 网 络 法 ,观察 到 我 们 实际 上 分 配 了 子 网 ， 做 法 是 在 子 网 
ID 字段 内 部 简单 地 编 址 或 计数 而 已 ， 表 示 为 这 个 表 中 的 突出 显示 黑 斜 体 bito 
0010 0000 0000 0001 0000 1101 1011 1000 0000 0000 0000 0000 
0000. . . 2001 : DB8: :/40 
0010 0000 0000 0001 0000 1101 1011 1000 0000 0001 0000 0000 
0000. . . 2001 ; DB8 :100: :/40 
0010 0000 0000 0001 0000 1101 1011 1000 0000 0010 0000 0000 
0000. . . 2001 ; DB8 :200: :/40 


因此 ， 如 果 事 先知 道 原始 的 /32 网 络 将 被 


均匀 地 分 割 为 唯一 的 /40 大 小 的 地 址 块 ， 


那么 一 种 比较 简单 的 分 配方 法 将 是 简单 地 递增 子 网 ID 比特 ( 即 每 次 加 1 操作 ) 。 接 下 
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来 /40 网 络 的 分 配 将 使 用 子 网 ID 数值 00000011 、00000100 00000101 等 。 在 一 些 网 
络 中 ,分 配 /40 地 址 块 的 这 种 均匀 法 策略 可 能 并 不 适用 ， 所 以 连续 二 分 的 方法 可 能 是 
比较 合适 的 。 
另 一 方面 ， 如 果 您 所 在 的 机 构 是 一 个 本 地 因特网 注册 机 构 (LIR) 或 SP， 则 一 

种 稀 玖 分 配方 法 也 许 是 有 吸引 力 的。 稀 豆 分 配方 法 寻求 将 地 址 分 配 分 散人 化， 采用 在 地 
址 分 配 之 间 分 配 最 大 空间 的 方法 ， 为 增长 留 下 空间 。 稀 玻 算法 的 特征 也 是 将 可 用 地 址 
空间 进行 二 分 ， 但 它 并 不 将 这 个 过 程 继续 到 最 小 地 址 尺寸 ， 它 要 求 在 新 的 一 半 地 址 空 
间 的 边缘 分 配 下 一 个 地 址 块 。 这 导致 地 址 分 配 分 散 化 ， 且 不 是 最 优 分 配 的 。 同 样 ， 其 
哲学 依据 是 ， 通 过 在 充足 的 IPv6 空间 各 分 配 之 间 留 下 丰富 的 空间 ， 这 为 所 分 配 网 络 
的 发 展 提供 了 空间 。 考 虑 一 个 范例 ， 从 2001: DB8:; /32 空间 分 配 三 个 /40 网络， 看 
起 来 的 情形 如 下 ; 

0010 0000 0000 0001 0000 1101 1011 1000 0000 0000 0000 0000 

0000. . . 2001 : DB8; :/40 
0010 0000 0000 0001 0000 1101 1011 1000 1000 0000 0000 0000 
0000. . . 2001 ; DB8 :800: :/40 
0010 0000 0000 0001 0000 1101 1011 1000 0100 0000 0000 0000 
0000. . . 2001 ; DB8 :4000 :/40 
这 些 二 进 制 表 示 分 别 转换 为 2001: DB8:: /40, 2001: DB8: 8000:: /40 和 

2001: DB8: 4000:: /40。 这 种 分 配 使 地 址 空间 分 散 化 ， 如 图 3-7 所 示 。 如 果 2001; 
DB8 : 8000:: /40 网 络 的 接受 者 要 求 附加 的 地 址 分 配 ， 则 可 分 配 一 个 连续 的 或 邻接 的 
地 址 块 2001: DB8: 8100:: /40。 采 用 稀 距 方法 时 ， 这 个 地 址 块 将 在 所 分 配 块 的 最 后 
一 块 ， 所 以 它 可 用 的 概率 较 大 。 在 这 样 一 种 情形 中 ， 两 个 连续 地 址 块 的 接受 者 可 将 他 
们 的 地 址 空间 标识 〈 并 通告 ) 为 2001: DB8: 8000:: /39。 注 意 子 网 ID 比特 实际 上 
是 从 左 到 右 计数 的 ， 而 不 采用 “正常 ”计数 的 常规 从 右 向 左 的 方法 。 
RFC 35312 摘 述 了 稀 朴 分 配方 法 论 。 因 为 人 们 期 望 网 络 分 配 遵循 一 个 多 层 的 分 
配 层 次 结构 ， 所 以 不 同 实体 进行 连续 分 配 时 ， 可 使 用 几 组 连续 的 网 络 比特 。 例 如 ， 一 
个 因特网 注册 机 构 可 向 一 个 区 域 注册 机 构 分 配 第 一 层次 的 地 址 宏 块 ， 该 区 域 注册 机 构 
接 下 来 从 那个 空间 向 一 个 服务 提供 商 分 配 地 址 块 ， 该 服务 提供 商 接着 从 那个 子 空 间 向 
其 顾客 分 配 地 址 块 ， 顾 客 可 进一步 在 其 各 网 络 间 分 配 地 址 块 。RFC 3531 建议 ， 较 高 
层次 的 地 址 分 配 (例如 各 注册 机 构 的 地 址 分 配 ) 利用 最 左 侧 计 数 或 稀 琉 分 配 法 ， 最 
低层 次 的 地 址 分 配 使 用 最 右 侧 或 最 佳 拟 合 分 配 法 ， 处 于 中 间 的 其 他 地 址 分 配 可 使 用 上 
述 任何 一 种 分 配 法 ， 或 甚至 使 用 一 种 从 中 间 开 始 的 分 配方 案 。 对 于 像 IPAM 全 球 公司 
这 样 的 一 个 组 织 机构 ， 使 用 稀 玻 方法 分 配 洲际 网 络 ， 在 顶层 为 未 来 发 展 留 下 了 空间 。 
注意 虽然 REC 3531 解决 的 是 IPv6 地 址 分 配 问 题 ， 但 也 可 以 这 种 方式 分 配 IPAM 全 球 
公司 的 顶层 IPv4 空间 ， 从 而 将 初始 分 配 分 散 为 基础 设施 的 10.0.0.0/12、VolP 的 
10. 128. 0. 0/12 和 数据 的 10. 64. 0. 0/12. 


3.2.3 随机 分 配 
随机 分 配方 法 选择 子 网 比特 范围 内 部 的 一 个 随机 数 来 分 配子 网 。 使 用 来 自 一 个 / 
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32 网 络 的 /40 分 配 为 例 ， 将 产生 0 和 28-1 ee 
(或 255) 之 间 的 一 个 随机 数 ， 并 在 假定 该 7.91028 IP sth 

数 仍然 可 用 的 情况 下 实施 分 配 。 这 种 方法 
为 在 所 分 配 实体 间 随 机 分 散 地 址 分 配 提供 
了 一 种 方法 ， 一 般 来 说 ， 对 于 “相同 大 小 ” 
的 地 址 分 配 而 言 ， 效 果 最 好 。 在 不 以 从 
“1” 开 始 连 续 地 分 配 有 序 的 地 址 块 和 子 网 
方面 ， 随 机 化 提供 了 “隐私 性 ”的 一 个 层 
面 。 要 小 心 的 是 ， 随 机 分 配 会 使 较 大 型 连 
续 地 址 块 的 识别 (依据 我 们 前 面 的 合并 范 
例 ) 和 为 重新 编 址 目的 而 释放 连续 空间 这 30906886 红 


2001:DB8:80 
3X1026 IP 


00:: /40 
地 址 


2001:DB8:4000::/40 
3X10% IP 地 址 


两 方面 更 加 困难 。 所 以 在 顶层 地 址 分 配 采 图 3-7 Paws Bese il 
HARDER A, EP iE (依据 参考 文献 [11, 166]) 


次 ， 随 机 或 最 佳 拟 合 方法 是 比较 合适 的 。 
3.2.4 唯一 的 本 地 地 址 空间 


虽然 IPv6 没有 指定 “私有 的 ”地 址 空间 ， 但 唯一 本 地 地 址 (ULA) 空间 的 概念 
本 质 上 是 等 价 于 “私有 ”空间 的 。 通 过 使 用 FC00:: /7 WR, 将 Lbit 设置 为 “1” 
(EH FD00:: /8)， 依 此 表明 本 地 指派 ， 并 指派 一 个 随机 的 40bit 全 局 ID, JKA IPAM 
全 球 公司 就 为 内 部 用 途 构 造 了 一 个 /48 网络。 在 可 能 文 持 区 域 因 特 网 注册 结构 的 因 特 
网 共同 体内 部 ， 为 分 配 全 球 唯 一 的 40bit 全 局 ID 存在 某 种 讨论 ， 区 域 因 特 网 注册 机 构 
的 职责 是 分 配 公 开 IP 地 址 空间 ( 接 下 来 我 们 将 看 到 是 如 何 分 配 的 ) 。 尽 管 是 全 球 唯一 
的 ， 以 ULA 为 目的 地 址 的 报 文 也 不 应 该 路 由 到 一 个 组 织 机 构 的 外 部 。 但 是 ， 这 项 规 
定 的 强制 实施 ， 一 般 来 说 由 每 个 组 织 结构 执行 ， 从 而 限制 这 样 的 报 文 越过 它 的 外 部 边 
界 路 由 器 。 


3.3 IPAM 全 球 公 司 的 IPv6 地 址 分 配 


虽然 当 描 述 地 址 分 配 时 ， 出 于 说 明 的 目的 ， 我 们 使 用 了 一 个 /32 网 络 ， 现 在 针对 
IPAM 全 球 公司 的 范例 ， 让 我 们 使 用 一 个 比较 真实 的 /48 大 小 地 址 块 : 2001: DB8 : 
4AF0:: /48。 同 样 ， 虽然 IPAM 全 球 公司 具有 充足 的 公开 IPv6 空间 ， 出 于 范例 的 目 
的 ， 让 我 们 也 选择 一 个 ULA 网 络 加 以 分 配 : FD01: 273E: 90A:: /48。 将 以 与 IPAM 
全 球 公 司 地 理 结构 一 人 致 的 方式 ， 层 次 化 地 分 配 这 些 地 址 块 。 将 和 在 前 面 的 10. X. Y. 0 
范例 中 的 做 法 一 样 ， 出 于 模式 一 致 性 和 较 容 易 地 实现 可 视 化 相关 关系 ， 使 用 针对 每 个 
位 置 的 通用 子 网 ID 号 ， 来 分 配 这 些 网 络 。 

在 IPAM 全 球 公司 的 情况 下 ， 让 我 们 在 核心 网 络 层 使 用 稀 跑 分 配 。 从 这 个 分 配 
中 ， 可 进一步 稀 跑 地 分 配 到 我 们 的 各 区 域 ， 之 后 对 于 我 们 的 配送 中 心 和 分 支 办 事 处 使 
用 一 种 最 佳 拟 合 方法 。 虽 然 当 前 在 IPv6 之 上 我 们 仅 和 运行 数据 应 用 ， 但 仍然 应 该 实施 
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种 应 月 


有 层次 的 地 址 分 配 ， 以 便 应 对 应 用 扩展 或 未 来 增长 。 


出 于 简单 性 考虑 ， 我 们 将 在 4bit 边界 上 进行 地 址 分 配 ?。 如 果 我 们 使 用 第 一 个 4 
子 网 比特 (49 ~52bit) ， 将 有 16 种 可 能 的 分 配 。 因 为 到 目前 为 止 我 们 只 有 一 个 应 用 ， 


所 以 针对 “数据 ”应 用 


法 ， 得 到 如 下 


地 址 分 配 。 


， 将 简单 地 分 配 四 个 网 络 , 使 其 代表 核心 网 络 。 使 用 稀 跑 方 


核心 分 配 


49 ~ 52bit 


AFF Mas 


上 :空间 分 配 


ULA 地 址 分 配 


总 部 0000 
北美 1000 
欧洲 0100 
亚洲 1100 


2001; DB8: 4AFO;; /52 
2001; DB8: 4AF0: 8000;; /52 
2001; DB8: 4AF0: 4000;; /52 
2001: DB8: 4AFO; C000:: /52 


FDO1: 
FDO1: 
FDO1: 
FDO1: 


273E; 90A:: /52 


273E; 90A; 8000: : 
273E; 90A; 4000: : 
273E: 90A: C000: : 


/52 
/52 
/52 


应 用 一 种 类 似 的 方法 ， 使 用 53 ~ 56bit 作为 下 一 层次 分 配 ， 得 到 如 下 子 (次 级 ) 
分 配 。 
次 级 核心 分 配 53 ~56bit 公开 地 址 空间 分 配 ULA 分 配 
北美 一 -东部 | 0000 | 2001; DB8: 4AF0: 8000:: /56 | FD01: 273E; 90A:: /56 
北美 一 一 中 部 | 1000 |2001: DB8: 4AF0: 8800:: /56 | FD01: 273E: 90A: 8800:: /56 
北美 一 一 西部 0100 |2001: DB8: 4AF0: 8400:: /56 |FD01: 273E: 90A; 8400:: /56 
欧洲 一 一 西部 | 0000 |2001: DB8: 4AF0: 4000:: /56 | FD01: 273E: 90A; 4000:: /56 
欧洲 一 一 南部 | 1000 |2001: DB8: 4AF0: 4800:: /56 | FD01: 273E: 90A: 4800:: /56 
欧洲 一 一 东部 | 0100 |2001: DB8: 4AF0: 4400:: /56 | FD01: 273E: 90A; 4400:: /56 
在 每 个 这 样 的 /56 地 址 分 配 内 部 ， 可 进一步 为 每 个 配送 中 心 和 分 文 办 事 处 分 配 独 
立 的 /64 子 网 地 址 。 我 们 将 使 用 一 种 最 佳 拟 合 方法 实施 这 种 分 配 ， 并 在 扩展 地 址 分 配 


表格 中 汇总 这 种 分 配 的 一 个 子 集 。 


配 。 许 多 IPv6 特色 功能 (例如 邻居 发 现 ) 假定 采 月 
对 于 路 由 器 点 到 点 链 路 或 


Es 
背靠背 


般 而 言 ，IPv6 子 网 应 该 采用 /64 网 络 前 级 进行 分 
H (WRF) 这 个 前 缀 长度 。 


链 路 ， 可 指派 一 个 /126 子 网 ， 这 类 似 于 IPv4 中 


提供 两 台 主 机 地 址 的 一 个 /30 网 络 。 但 是 ， 要 小 心 在 IPv6 地 址 的 接口 标识 符 字段 内 部 
“ww”( 全 局 /本 地 , 第 71bit) Al “g” (个体 /组 ， 第 72bit) 这 两 个 比特 的 设置 。 不 正 
确 地 设置 这 些 比 特 会 影响 访问 或 利用 它们 的 各 项 应 用 。“ 
IEEE (1) 指派 或 本 地 (0) 指派 的 ，“g”bit 表明 该 地 址 是 一 个 单 播 (0) 或 一 个 组 
播 (1) 地 址 。 不 应 该 使 用 /127 地 址 。/128 前 绥 指 示 单 一 JP 地址， 类似 于 IPv4 中 的 


” 
u 


bit 表明 公司 ID 是 由 


/32, 

让 我 们 将 这 些 ITPv6 地 址 分 配 添加 到 IPAM 全 球 公 司 的 IP 地 址 表格 ， 如 下 所 示 。 
核 | |e], 
met 域 | 的 oe VoIP 网 数据 网 | 公开 IPv6 地 址 | IPv6 ULA 
ge | 公司 | 费 2001:DB8 : 2001 :273E: 
城 uN 城 10. 0. 0.0/12 |10.16.0.0/12 | 10. 32. 0. 0/12 ‘nieces GO 


在 第 9 BE, 我们 将 讨论 非 4bit 边界 上 进行 地 址 分 配 的 隐 含 意义 ， 


将 特别 讨论 对 DNS 的 隐 含 意义 。 
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( 续 ) 
区 
人 区 FA 站 基础 VoIP 网 数据 网 公开 IPv6 地 址 IPv6 ULA 
sE > 4 A 0 LS 
站 | | 站 | 设施 网 
es 城 10.0.0.0/16 | 10.16 0.0/6 | 1032, 00716 | 001:DB8: | 2001:273E:90A: 
城 | 分 部 | “ a" Ae = 4AF0 : :/56 8000 : :/S2 
、 2001 : DB8 :4AF0 :| 2001:273E:90A: 
核心 网 10. 3. 0. 0/26 
800 : :/64 800: :/64 
费城 
2001 : DB8 : 2001 :273E: 
—— | 10.0.0.0/22 | 10. 16. 0. 0/22 | 10. 32. 0.0/22 
a 4AFO: + /64 90A: :/64 
行政 
费城 
2001 : DB8 : 2001 :273E: 
—— | 10.0.4.0/22 | 10. 16. 4. 0/22 | 10. 32. 4. 0/22 
4AFO :1: :/64 90A:1::/64 
财务 
费城 
2001 : DB8 : 2001 :273E: 
一 一 | 10.0.8.0/22 | 10. 16. 8.0/22 | 10. 32. 8. 0/22 
ae 4AFO +2: :/64 90A :2: :/64 
运 和 
费城 
2001 : DB8 : 2001 :273E: 
—— | 10. 0. 12. 0/22 |10. 16. 12. 0/22]10. 32. 12. 0/22 
、 4AF0:3 ; :/64 90A :3 ; :/64 
技术 
费城 
2001 : DB8 : 2001 :273E: 
—— | 10. 0. 16. 0/22 |10. 16. 16. 0/22 |10. 32. 16. 0/22 
poe 4AF0 :4: :7/64 90A :4: :/64 
营销 
费城 
2001 : DB8 : 2001 :273E: 
一 一 | 10. 0. 20. 0/22 |10. 16. 20. 0/22 |10. 32. 20. 0/22 
m 4AF0 :5: :/64 90A:5::/64 
研发 
2001:DB8 : 
北美 一 一 | 诺 里 2001 :273E: 
an 本 10. 0. 64. 0/18 |10. 16. 64. 0/18 |10. 32. 64. 0/18 4AF0: 
东部 | 斯 敦 90A :8000 : :/56 
8000 : :/56 
诺 里 2001:DB8: | 2001 :273E :90A ; 
~ |10. 0. 64. 0/23 |10. 16. 64. 0/23 |10. 32. 64. 0/23 
斯 敦 4AFO;8000;:/64] 8000: :/64 
多 伦 2001: DB8 : 2001 :273E:90A;: 
10. 0. 66. 0/23 |10. 16. 66. 0/23 |10. 32. 66. 0/23 
多 4AFO +8001: :764 8001: :/64 
纳 舒 2001 : DB8 : 2001 :273E:90A;: 
10. 0. 68. 0/23 |10. 16. 68. 0/23 |10. 32. 68. 0/23 
JE 4AFO :8002 : :/64 8002 : :/64 
ALFE 2001:DB8: | 2001:273E:90A， 
` | 10. 0. 70. 0/23 |10. 16. 70. 0/23 |10. 32. 70. 0/23 
克 4AFO0:8003;:/64 8003 : :/64 
巴尔 2001:DB8: | 2001 :273E :90A ; 
10. 0. 72. 0/23 |10. 16. 72. 0/23 |10. 32. 72. 0/23 


4AFO :8004 ; :/64 


8004 : :/64 


5% 
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3 


ae 


EA 


IP 地 址 分 配 


47 


区 
Riel | 站 基础 r 
站 | 域 的 E ae VoIP 网 数据 网 公开 IPv6 地 址 IPv6 ULA 
H ý 站 s 设施 网 
匹 效 2001: DB8 : 2001 :273E:90A: 
10. 0. 74. 0/23 |10. 16. 74. 0/23 |10. 32. 74. 0/23 
堡 4AF0 :8005 : :/64 8005 : :/64 
夏 洛 2001 :DB8. 2001 :273E:90A: 
a | 10. 0.76. 0/23 |10. 16. 76. 0/23 |10. 32. 76. 0/23 
特 4AF0 :8006 : :/64 8006 : :/64 
亚 特 2001: DB8 : 2001 :273E:90A: 
M 10. 0. 77. 0/24 |10. 16. 77. 0/24 |10. 32. 77. 0/24 
= 4AFO :8007 : :/64 8007 : :/64 
普 2001: DB8 : 2001 :273E:90A: 
、 10. 0. 78. 0/24 |10. 16. 78. 0/24|10. 32. 78. 0/24 
维 登 期 4AFO :8008 : :/64 8008 : :/64 
2001: DB8: 2001 :273E:90A: 
EL PE | 10. 0. 79. 0/24 |10. 16. 79. 0/24 |10. 32. 79. 0/24 
4AFO :8009 : :/64 8009 : :/64 
奥 尔 2001: DB8 : 2001 :273E:90A: 
10. 0. 80. 0/24 |10. 16. 80. 0/24 |10. 32. 80. 0/24 
巴 尼 4AF0:800A::/64|  800A;:/64 
a 2001: DB8: 2001 :273E:90A;: 
曼哈顿 10. 0. 81. 0/24 |10. 16. 81. 0/24] 10. 32. 81. 0/24 
4AFO:800B::/64)  800B::/64 
海洋 2001:DB8 : 2001 :273E:90A: 
10. 0. 82. 0/24 |10. 16. 82. 0/24 |10. 32. 82. 0/24 
成 4AFO:800C::/64)  800C::/64 
雷 斯 2001: DB8 : 2001 :273E:90A: 
| 10. 0. 83. 0/24 |10. 16. 83. 0/24 |10. 32. 83. 0/24 
顿 4AF0:800D::/64| 800D: :/64 
里 士 2001: DB8 : 2001 :273E:90A: 
~ | 10. 0. 84. 0/24 |10. 16. 84. 0/24}10. 32. 84. 0/24 
满 4AFO:800E::/64)  800E::/64 
查 尔 2001: DB8: 2001 :273E:90A: 
10. 0. 85. 0/24 |10. 16. 85. 0/24 |10. 32. 85. 0/24 
斯 顿 4AFO;800F; :/64 800F: :/64 
蒙 哥 2001: DB8 : 2001 :273E:90A; 
10. 0. 86. 0/24 |10. 16. 86. 0/24 |10. 32. 86. 0/24 
马 利 4AF0 :8010: :/64 8010; :/64 
北美 一 一 | pE 2001:DB8 : 2001 :273E :90A: 
中 部 “| 斯 城 10. 0. 192. 0/18 | 10. 16. 192. 0/18 | 10. 32. 192. 0/18 i ene a 
H GJE AFO :8800: : HE 
堪 萨 2001 :DB8: 2001 :273E:90A: 
10. 0. 192. 0/23 | 10. 16. 192. 0/23 | 10. 32. 192. 0/23 
斯 城 4AF0 :8800: :/64 8800: :/64 
Pe 2001 :DB8 : 2001 :273E:90A: 
芝加哥 | 10. 0. 194. 0/23 | 10. 16. 194. 0/23 | 10. 32. 194. 0/23 
4AFO 8800: :/64 8800: :/64 
5 2001 :DB8 : 2001 :273E:90A: 
得 梅 因 | 10. 0. 196.0/23 | 10. 16. 196. 0/23 | 10. 32. 196. 0/23 
4AFO 8801 : :/64 8801 ; :/64 
, 2001 :DB8: 2001 :273E:90A: 
孟菲斯 | 10. 0. 198. 0/23 |10. 16. 198. 0/23 | 10. 32. 198. 0/23 
4AFO :8802 : :/64 8802 : :/64 
新 奥 2001 :DB8 : 2001 :273E:90A: 
~ | 10. 0. 200. 0/23 | 10. 16. 200. 0/23 | 10. 32. 200. 0/23 
尔 良 4AFO 8803 : :/64 8803 : :/64 
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如 果 保 持 这 种 增长 ， 那 么 将 需要 更 多 页 来 记录 这 些 信 息 。 如 我 们 提 到 的 IPv4 分 
配 一 样 ， 比 如 匹 菊 堡 使 用 “站 点 号 ”73 (第 三 个 字 节 ) ， 我 们 可 识别 它 的 IPv6 站 点 
号 为 8005， 这 是 第 四 个 冒号 段 。 从 我 们 的 公开 IPv6 地 址 空间 中 ， 将 为 我 们 的 外 部 
(因特网 ) 可 访问 的 服务 器 (例如 DNS、web、 文 件 传 输 和 电子 邮件 服务 器 ， 分配 另 
外 一 个 地 址 分 配 。 使 用 两 种 不 同 的 地 址 空间 分 配方 法 来 分 配 IPv4 空间 : 针对 内 部 分 
配 的 私有 地 址 空间 法 和 针对 外 部 访问 的 公开 地 址 空间 法 。 对 于 IPv6， 分 配 了 公开 地 址 
空间 和 内 部 的 ULA 地 址 空间 ， 还 需要 为 外 部 可 访问 能 力 增加 一 个 地 址 分 配 。 让 我 们 
分 配 2001: DB8: 4AFO; 2000:: /56 网 络 指派 给 外 部 主机 。 

现在 完成 了 IPAM 全 球 公司 初始 分 配 计 划 ， 并 在 表格 中 记录 了 每 个 地 址 分 配 。 让 
我 们 回 过 头 来 ， 讨 论 一 下 公开 IP 地 址 空间 是 如 何 管理 并 分 配给 各 ISP 的 ， 之 后 比较 
详细 地 描述 多 穴 (使 用 多 个 ISP) 接 入 法 。 


3.4 因特网 注册 机 构 


为 了 做 到 正确 路 由 和 通信 ， 在 一 个 给 定 网 络 上 ， 耳 地 址 必须 是 唯一 的 。 在 全 球 
因特网 上 如 何 确保 这 种 唯一 性 呢 ? 因特网 地 址 分 配 号 码 权 威 机 构 (IANA) 负责 IPv4 
和 IPv6 的 全 球 IP 地 址 空间 分 配 ， 同 时 负责 TCP/IP 内 部 所 用 其 他 参数 的 分 配 (例如 
应 用 端口 号 ) 。 事 实 上 ， 通 过 浏览 www. iana. org, 选择 号 码 资 源 链接 下 的 “因特网 协 
议 v4 地 址 空间 ” (Internet Protocol v4 Address Space) 或 “IPv6 地 址 空间 ” (IPv6 Ad- 
dress Space) , 您 可 查看 这 些 顶层 分 配 (23 ) 。 

从 本 质 上 而 言 ，IANA 是 顶层 地 址 注册 管理 机 构 ， 它 将 地 址 空间 分 配给 区 域 
因特网 注册 机 构 (RIR) 。 如 下 面 列 出 的 ，RIR 是 这 样 的 组 织 机 构 ， 它 们 负责 在 其 相 
应 的 全 球 区 域内 部 ， 从 其 对 应 的 地 址 空间 资源 中 (从 IANA 得 到 ) 实施 地 址 空间 
分 配 。 

1) AfriNIC (非洲 网 络 信息 中 心 ) 一 一 非洲 区 。 

2) APNIC (亚太 网 络 信息 中 心 ) 一 一 亚洲 /太平洋 区 。 

3) ARIN (美国 因特网 地 址 注册 机 构 ) 北美 区 ， 包 括 波多 黎 各 和 一 些 加 勒 比 
海岛 屿 。 

4) LACNIC (拉丁 美洲 和 加 勒 比 海 因特网 地 址 注册 机 构 ) 
勒 比 海岛 屿 。 

5) RIPE NCC (Reseaux IP Europeens， 欧 洲 网 络 资讯 中 心 ) 一 一 欧洲 、 中 东 和 
中 亚 。 

RIR 系统 的 目标 如 下 。 

1) 唯一 性 。 为 做 到 全 球 因 特 网 路 由 ， 每 个 IP 地 址 必须 是 全 球 唯一 的 。 

2) 汇聚 。 地 址 空间 的 层次 化 分 配 ， 保 障 在 因特网 上 IP 流量 的 正确 路 由 。 如 果 没 


拉丁 美洲 和 一 些 加 


O 就 像 每 种 看 似 权威 的 论断 一 样 ， 总 是 存在 例外 ! 任意 播 地 址 典型 地 是 指派 给 多 台 主 机 的 ， 类 似 的 
情况 是 组 播 地 址 是 共享 的 。 此 处 这 个 论断 适用 于 单 播 地 址 。 
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有 汇聚 ， 那 么 路 由 表 会 变 得 零碎 不 堪 ， 最 终 导 致 因特网 内 部 的 众多 瓶颈 。 

3) 保护 管理 。 不 仅 对 于 IPv4 空间 而 且 对 于 IPv6 空间 都 一 样 的 是 ， 地 址 空间 需要 
依据 实际 使 用 需求 进行 分 配 。 

4) 注册 。IP 地 址 指派 的 一 个 公开 可 访问 注册 机 制 消除 了 二 义 性 ， 并 会 有 助 于 排 
错 。 这 种 注册 机 制 被 称 为 whois 数据 库 。 如 今 ， 存 在 许多 whois 数据 库 ， 不 仅 由 RIR 
运营 维护 ， 而 且 由 LIR/ISP 运营 维护 (针对 它们 的 相应 地 址 空间 运行 这 种 机 制 ) 。 

5) 公平 性 。 非 收视 的 地 址 分 配 ， 基 于 真实 的 地 址 需求 而 不 是 长 期 的 “计划 ”。 

正如 您 可 能 猪 到 的 ， 我们 在 本 章 讨论 的 分 配方 法 类 似 于 如 下 方法 : 向 RIR 分 配 
地 址 块 ， 由 RIR 向 国家 或 本 地 因特网 注册 权威 机 构 分 配 ， 接 下 来 由 这 些 机 构 分 配 到 
服务 提供 商 和 端 用 户 的 那些 方法 。RFC 2050 (24) 文档 的 内 容 是 RIR 地 址 分 配 指南 。 
通用 地 址 分 配 层 次 结构 如 图 3-8 所 示 。 国 家 因特网 注册 机 构 与 本 地 因特网 注册 机 构 相 
近 ， 但 被 组 织 在 国家 层次 上 。 

回 到 20 世纪 80 年 代 和 90 年 代 早 期 ,许多 公司 (图 3-8 中 的 端 用 户 ) 直接 从 一 
个 中 心 式 因特网 网 络 信息 中 心 (NIC) 处 得 到 地 址 空间 。 但 是 ， 在 转换 到 CIDR 寻 址 
结构 的 过 程 中 ， 为 了 提供 地 址 分 配 职责 的 进一步 委派 ， 插 人 了 RIR 和 LIRZISP 层 。 如 
今 ， 多 数 机 构 都 从 LIR 或 ISP 处 得 到 地 址 空间 。 虽 然 为 了 最 大 化 地 址 效率 ， 建 议 RIR 
使 用 一 致 的 地 址 分 配 策略 ， 但 得 到 这 种 地 址 空间 的 过 程 通常 由 LIR/ISP fT ZZ Wh ( dic- 
tated) ， 各 公司 通常 与 他 们 有 商务 关系 。 


ARIN 


未 地 级 “用 未 地 
IR/ISP IR/ISP IR/ISP 
oo 


图 3-8 AWA PAY IP dehks ae!) 


当地 址 空间 被 分 配给 一 个 ISP 时 ， 之 后 该 ISP 可 在 因特网 上 通告 该 地 址 空间 。 因 
此 ,插入 LIR/ISP 层 的 这 种 做 法 有 助 于 在 因特网 上 汇聚 路 由 通告 。 由 该 ISP 服务 的 多 
个 顾客 可 被 汇聚 在 因特网 上 的 一 条 路 由 之 中 〈 进 行 通 告 ) 。 如 果 商 务 运 转 良 好 ， 且 
LIR/ISP 需要 更 多 的 地 址 空间 ， 那 么 LIRAS 可 从 其 RIR 请 求 更 多 的 空间 。 一 般 来 说 ， 
每 个 RIR 有 其 自己 定义 的 处 理 地 址 请 求 的 过 程 ， 所 以 如 果 要 了 解 细 节 ， 您 应 该 咨询 
您 所 在 地 区 的 RIR。 
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3.4.1 RIR 地 址 分 配 


从 一 个 RIR 角度 看 ，RIR 将 空间 分 配给 LIR/ISP， 然 后 LIR/ISP 将 地 址 空间 指派 
给 它们 的 顾客 ( 客户)。“ 分 配 ” 这 个 术语 ， 从 技术 角度 看 ， 指 将 一 个 卫 地 址 块 提供 
作为 一 个 地 址 空间 “ 池 ”， 可 从 中 抽取 地 址 指派 给 顾客 (客户 )。 之 后 像 IPAM EER 
公司 这 样 的 顾客 可 使 用 被 指派 的 地 址 空间 ， 从 该 空间 分 配 地 址 块 和 子 网 ， 接 下 来 从 所 
分 配 的 子 网 中 向 各 台 主 机 指派 IP 地 址 。 这 种 分 配 和 指派 的 过 程 机 制 ， 依 据 的 是 我 们 
在 本 章 中 前 面 有 关 PAM 全 球 公司 层次 化 分 配 范 例 中 描述 过 的 过 程 。 但 是 ，RIR 将 分 
配 和 指派 作 了 区 分 ， 原 因 是 指派 由 使 用 中 的 地 址 组 成 ， 而 分 配 是 用 于 指派 的 地 址 池 ， 
它 开 始 时 是 没有 使 用 的 ， 但 理论 上 是 随时 间 推 移 从 分 配 中 进行 多 次 指派 ， 使 用 率 得 以 
增加 。 从 技术 角度 看 ，RIR 将 分 配 和 指派 都 看 做 是 在 使 用 中 的 ， 但 却 将 针对 实际 地 址 
利用 率 而 进行 分 配 空间 的 审计 能 力 ， 作 为 开放 空间 ， 将 其 留 作 需 要 时 处 理 来 自 每 个 
LIR/ISP 的 附加 分 配 请 求 。 

为 了 在 第 一 时 间 得 到 地 址 空间 ，LIR/ISP 必须 展示 说 明 对 直接 地 址 分 配 的 25% 利 
用 率 的 需求 ， 以 及 在 1 年 内 50% 利用 率 的 需求 >。 这 项 要 求 适用 于 得 到 IPv4 空间 的 过 
Fe; 如 今 要 得 到 IPv6 空间 ， 要 比较 容易 些 。 如 果 要 请 求 附加 的 地 址 空间 ， 那 么 就 需 
要 通过 展示 LIR/ISP 的 当前 分 配 的 利用 率 ， 来 说 明 附加 请 求 的 合理 性 。 为 了 保持 跟踪 
LIR/ISP 分 配 ， 各 RIR 要 求 每 个 LIR/ISP 都 实现 电子 (自动 ) 更 新 机 制 。 当 LIR/ISP 
间 派 地 址 空间 时 ， 该 指派 信息 都 要 使 用 相应 的 电子 (自动 ) 更 新 表 通 知 RIR。 从 理论 
上 说 ,在 请 求 附加 的 地 址 空间 时 ，RIR 和 LIR/ISP 都 有 共同 的 分 配 信 息 ， 据 此 可 确认 
并 批准 利用 率 阔 值 。 所 有 RIR 都 允许 以 电子 邮件 方式 传递 特定 模板 格式 的 这 种 信息 ， 
以 此 传递 分 配 信 息 。ARIN 称 这 个 过 程 为 共享 的 域名 过 程 或 SWIP。RIR 会 改变 电子 邮 
件 模板 ， 而 且 确 实 这 种 模板 会 偶尔 发 生变 化 ， 所 以 最 好 的 办 法 是 联系 服务 于 您 所 在 地 
理 区 域 的 RIR， 以 便 得 到 您 需要 模板 的 最 新 版 本 。 

为 了 控制 正在 缩减 的 IPv4 地 址 空间 的 分 配 ，RIR 采用 一 种 慢 启 动 分 配方 案 , 使 
LIR/ISP 以 一 个 较 小 的 地 址 分 配 开始 运行 ， 当 它们 的 分 配 满足 规定 时 在 得 到 较 大 的 分 
配 。 在 一 些 情形 中 ， 在 LIR/ISP 从 其 空间 向 端 用 户 分 配 地 址 时 ， 他 们 必须 从 RIR 获得 
准许 (同意 ) RIPE, APNIC 和 LACNIC RIR 利用 称 为 指派 窗口 (AW) 的 一 种 结构 
来 控制 需要 RIR 准许 的 地 址 块 尺寸 分 配 ; AfriNIC 使 用 一 种 类 似 的 结构 ， 称 为 亚 分 配 
窗口 (SAW), ARIN 采用 一 个 标准 的 /20 ENAA AW, A CDR 表示 法 表示 的 AW 
或 SAW， 加 强 了 边界 条 件 ， 即 在 没有 从 相应 RIR 获取 准许 条 件 下 ,约束 LIR/ISP 从 
其 地 址 空间 分 配 的 地 址 块 最 大 尺寸 。 
虽然 APNIC 和 LACNIC 以 AW (和 AfriNIC 的 SAW) 作为 在 没有 RR 准许 条 件 下 
的 最 大 分 配 尺 寸 ， 同 时 RIPE 使 一 个 LIR/ISP 至 多 分 配 其 AW 的 400% 或 至 多 一 个 /20， 
哪个 较 小 分 配 哪 个 。 因 此 ， 拥 有 一 个 /22 AW (从 RIPE 得 到 ) 的 一 个 LIR/ISP 至 多 可 


O WE, MATJ IPw 空间 的 快速 消失 ， 分 配 策略 也 在 快速 地 演变 ， 并 变 得 日 益 严 苛 起 来 。 请 联系 
您 的 RIR， 了 人 解 最 新 的 分 配 策略 。 
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进行 /20 大 小 的 个 体 地 址 分 配 ( 记 住 ， 向 左 移动 1bit 就 会 使 地 址 空间 加 倍 ) ， 而 拥有 


一 个 /21 AW 的 LIR/ISP 至 多 可 进行 /19 大 小 的 个 体 地 址 分 配 。AfriNIC、RIPE、LAC- 
NIC 和 APNIC 将 对 于 新 LIR/ISP 的 [S] AW 约束 为 0， 要 求 其 所 有 分 配 都 要 获得 RIR 
当 LIR/ISP 证 明 是 一 个 负责 的 地 址 空间 管理 者 时 ，[S] AW 就 


准许 。 随 着 时 间 消 逝 ， 


可 得 以 增加 。 表 3-1 汇总 了 如 今 RIR 采用 的 主要 分 配 策略 。 
表 3-1 RIR 分 配 策略 汇总 
区 域 因特网 注册 处 


RIR 策略 重点 
AfriNIC(25) | APNIC(26) ARIN(27) | LACNIC(28) | RIPE NCC(29) 

台阶 段 的 最 小 IPv4 

初始 阶段 的 最 小 Pw /22 /21 /20 /21 /21 
分 配 

IPv4 合理 性 判定 ;: 初 ; 
ea 型 性 判定 :初步 25/50% 25/50% 25/50% 25/50% 25/50% 
IT ESS AE 

曾 加 分 配 的 IPv4 网 

an Lats 80% 80% 80% 80% 80% 
利用 率 准则 

对 于 大 于 如 下 情况 的 、 指派 的 AW |/19( 或 对 于 超 | 指派 的 AW 
eae aoe 指派 的 SAW | EO oe ani /20 BAX AW 
分 配 ,必须 通知 RIR (最 大 为 /19) 大 的 ISP 为 /18) (最 大 为 /21) 

初始 阶段 的 最 小 IPv6 
分 本 /32 /32 /32 /32 /32 
预期 的 LIR/ISP IPv6 
/48 /48 /48 /48 /48 
指派 

增加 分 配 的 IPv6 HD 

0.94 0.94 0.94 0.94 0. 94 
比率 准则 


为 了 加 强 RIR 系统 的 汇聚 目标 ， 当 LIR/ISP 的 顾客 决定 改变 
强烈 建议 每 个 LIR/ISP 以 合同 方式 强制 他 们 的 顾客 返回 分 配给 他 人 


目标 的 存在 是 为 了 保持 寻 址 的 层次 结构 ， 这 类 似 于 我 们 在 IPAM 全 球 公 司 的 情形 中 描 
述 的 寻 址 层次 结构 。 为 了 形象 地 说 明 这 项 要 求 的 重要 性 ， 考 虑 一 个 ISP,， 它 拥有 从 
个 RIR 得 到 的 一 个 /20 地 址 分 配 。 该 ISP 将 一 个 /23 分 配给 它 的 一 个 顾客 。 如 果 该 顾 


服务 提供 商 时 ，RIR 
门 的 地 址 空间 。 这 个 


客 改变 服务 提供 商 ， 并 将 /23 地 址 空间 带 走 ， 那 么 该 /23 将 需要 在 因特网 “骨干 ”上 
汇总 (roll up) 到 新 的 ISP， 而 不 是 原始 的 ISP。 原 始 ISP 现在 将 不 仅 需 要 通告 它 最 早 
接收 到 的 /20 地 址 块 ， 而 且 还 有 其 他 的 /23 、 一 个 /22 和 一 个 /21 即 它 所 有 的 地 址 空间 
减 去 离 去 顾客 的 /23 。 新 的 ISP 将 需要 通告 它 分 配 得 到 的 地 址 块 ， 加 上 新 顾客 的 /23 。 
这 明显 地 在 双方 的 路 由 表 项 和 全 球 因特网 的 路 由 表 项 中 都 产生 了 增加 ， 挫 败 了 汇聚 的 


的 ,但 对 于 因特网 路 由 而 言 是 没有 效率 的 。 
采用 要 求 将 该 地 址 空间 返回 原始 ISP 的 方法 ,该 /23 就 被 返回 到 地 址 池 ， 可 用 于 


目标 。 这 种 “可 携带 的 ”地 址 空间 被 称 为 提供 商 无 关 的 ( PI) ， 对 于 客户 而 言 是 方便 


在 其 他 地 方 的 指派 或 进行 二 次 分 配 ， 客 户 将 需要 以 新 ISP 指派 的 新 地 址 空间 对 他 们 的 
网 络 重新 编 址 。 在 改变 ISP 时 ， 要 求 返还 地 址 空间 的 做 法 ， 确 保 该 ISP 有 单一 的 汇聚 
路 由 通告 ， 被 称 为 提供 商 汇聚 (PA) 空间 。 在 分 配 层次 结构 中 设置 ISP/LIR 层 之 前 
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得 到 IP 地 址 空间 的 一 些 组 织 机 构 ， 拥 有 PI 空间 。 现 在 总 体 而 言 人 们 不 同意 分 配 PI 空 
间 ， 而 倾向 于 PA 空间 。 


3.4.2 ”地 址 分 配 效率 


在 IPv6 发 展 的 过 程 中 ， 为 得 到 128bit 大 小 的 地 址 ， 人 们 进行 了 许多 思考 。 虽 然 
IPv4 提供 了 一 个 32bit 的 地 址 字段 ， 它 可 提供 理论 上 最 多 2 个 地 址 ， 或 42 亿 个 以 上 
的 地 址 ， 在 实际 中 理论 最 大 值 要 远 小 于 42 亿 个 地 址 。 这 是 由 于 地 址 空间 的 层次 化 分 
配 导 致 的 ， 该 层次 化 分 配 涉及 多 个 网 络 层次 ， 接 下 来 是 子 网 ， 最 后 才 是 主机 。RFC 
1715 (参考 文献 [30]) 提供 了 地 址 指派 效率 的 分 析 ， 其 中 建议 使 用 一 个 对 数 尺度 用 
作 分 配 效 率 的 度量 ， 定 义 为 互 比率: 


H 


出 


_ lg( 对象 数 ) 
“可 用 比特 数 

如 今 在 因特网 上 大 约 有 7.3 亿 台 主机 ， 则 如 今 的 五 比率 0.277。42 亿 个 卫 地 址 
100% 利用 率 对 应 的 五 比率 为 0.3019， 所 以 如 今 的 五 比率 是 较 高 的 。 

由 于 IPw6 巨大 的 地 址 空间 ，IPv6 指派 效率 的 度量 并 不 是 依据 比率 来 计算 的 ; 
其 使 用 一 个 不 同 的 比率 ， 即 8D HEX, 

lg( 被 分 配对 象 数 ) 

”lg( 被 分 配对 象 最 大 数量 ) 

在 IPv6 HD 比率 中 被 度量 的 “对 象 ” 是 从 一 个 给 定 尺 寸 的 IPv6 前 级 中 指派 的 
IPv6 站 点 地 址 (/48)。/48 地 址 块 是 那些 由 LIRZISP 向 每 个 端 用 户 期 望 指派 的 地 址 
块 。 所 以 拥有 一 个 /32 地 址 分 配 的 LIRZISP， 如 果 已 经 分 配 100 个 /48 地 址 块 ， 那 么 它 
将 具有 的 HD 比率 是 lg (100)/lg(65536) =0. 415。 


HD 


3.5 ZRNA IP 地 址 空间 


“多 六 接 入 法 ”这 个 术语 指 一 个 企业 拥有 到 因特网 的 多 条 ( >1) 连接 。 一 个 简 
单 的 架构 如 图 3-9 所 示 。 多 穴 接 和 人 战术 策略 提供 几 项 优势 。 

1) 链 路 元 余 ， 在 出 现 连接 中 断 时 可 提供 连续 的 因特网 连接 可 用 能 力 。 

2) ISP IER, 在 出 现 一 个 ISP 中 断 时 ， 多 个 ISP 被 用 来 限制 被 影响 面 (expo- 
sure) 。 

3) 在 多 条 连接 上 进行 因特网 流量 的 负载 均衡 。 

4) 策略 和 性 能 优势 ， 可 通过 基于 拥塞 的 流量 路 由 或 基于 需求 而 将 不 同 应 用 的 流 
量 路 由 到 不 同 的 链 路 或 ISP 获得 这 些 优 势 。 
虽然 在 将 多 穴 接 和 人 法 配置 到 每 个 ISP 的 路 由 器 接口 时 ， 要 求 特别 民愤 ， 但 它 确实 
提供 了 几 项 有 吸引 力 的 优势 。 如 我 们 在 图 3-9 所 示 的 ， 企 业 边 界 路 由 器 直接 与 它们 相 
应 的 ISP 边界 路 由 器 对 接 ， 参 与 到 一 个 外 部 路 由 协议 (例如 BGP) 之 中 ,通告 到 相应 


© 0.301， 它 等 于 lg (2) ,是 五 比率 的 最 大 值 。 
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图 3-9 多 六 接 入 法 的 架构 
地 址 块 的 可 达 性 (通过 地 址 前 级 )。 因 此 ， 连 接 到 ISP X 的 企业 路 由 器 ， 将 通告 由 ISP 


X 提供 给 该 企业 的 地 址 空间 的 可 达 性 。 类 似 地 ， 连 接 到 ISP Y 的 企业 路 由 器 ， 将 通告 
由 ISP Y 提供 给 该 企业 的 地 址 空间 的 可 达 性 。 

这 两 台 企 业 路 由 器 也 通过 企业 IP 网 络 使 用 一 个 内 部 路 由 协议 ， 相 互通 信 。 采 取 
这 种 方式 ， 可 检测 到 一 个 ISP 连接 的 丢失 ， 虽 然 就 这 点 而 言 也 是 引起 人 们 关注 的 地 
方 。 为 了 形象 地 说 明 这 点 ， 而 不 涉及 所 有 的 路 由 细节 条 件 下 2 ， 下 面 汇总 了 最 常见 的 
多 穴 部 署 选 项 、 中 断 影响 以 及 对 IP 地 址 空间 意味 着 什么 。 

1) 情形 1。 两 条 或 多 条 不 同 的 物理 链 路 连接 到 同一 ISP。 这 种 “多 连接 ” 
(multiattached) 结构 提供 了 链 路 元 余 ， 但 没有 提供 ISP 宛 余 。 图 3-9 所 示 ， 将 两 个 
ISP 云 缩 为 单一 云 ， 但 仍然 有 来 自 该 企业 的 两 条 (或 更 多 ) 链 路 。 采 用 一 个 ISP 
时 ， 前 级 X= 前 级 Y， 所 以 从 该 ISP 分 配 的 这 个 公开 地 址 空间 可 被 统一 地 在 所 有 连 
接 上 进行 通告 。 

2) 情形 2。 到 一 个 或 多 个 ISP (使 用 提供 商 独 立 的 地 址 空间 ) 的 两 条 或 多 条 连 
接 。 回 顾 一 下 ， 在 这 个 场景 中 ，PI 空间 被 直接 分 配给 组 织 机 构 ， 且 独立 于 ISP 联盟 。 
图 3-9 所 示 ， 被 通告 的 前 级 在 两 条 连接 上 也 是 相同 的 ， 虽然 可 将 其 表示 为 前 级 Z， 以 
便 表 示 独 立 于 ISP 地 址 空间 。 和 在 情形 1 中 一 样 ，PI 空间 可 被 通告 到 所 有 ISP， 并 依 
据 需 要 在 该 机 构 内 实施 分 配 。 

3) 情形 3。 到 两 个 或 多 个 ISP 的 两 条 或 多 条 连接 (使 用 来 自 每 个 ISP 的 提供 商 汇 
聚 地 址 空间 ) 。 在 这 种 情形 中 ， 每 个 ISP 将 分 配 地 址 作为 其 服务 的 组 成 部 分 。 图 3-9 
反映 了 这 样 的 场景 。 拥 有 两 个 独立 的 地 址 块 X 和 YY 时 ， 如 果 到 ISPX 的 链 路 失效 ， 则 
通过 来 自 连 接 到 ISP X 的 企业 路 由 器 的 内 部 路 由 协议 更 新 ， 连 接 到 ISP Y 的 企业 路 由 
器 将 检测 到 链 路 失效 。 因 此 ， 现 在 连接 到 ISP Y 的 企业 路 由 器 可 通告 到 前 缀 X 的 可 达 
性 。 取 决 于 ISP Y 的 策略 ， 它 也 许 会 传播 也 许 不 会 传播 该 路 由 ， 原 因 是 该 路 由 没有 落 


加 ”请 参考 如 下 RFC 了 解 多 穴 接 入 法 的 路 由 细节 : 226007) | 41167) 417707 442187 
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在 ISP Y 的 地 址 空间 内 ， 它 只 是 
落 在 ISP X 的 地 址 空间 内 。 

另 一 种 方法 是 从 面向 ISP Y 
的 企业 路 由 器 向 一 个 ISP X 路 由 
器 对 等 端 执行 一 次 间接 的 BGP 
对 等 端 更 新 。 在 这 种 方式 中 ， 
通过 ISPY 向 ISP X 路 由 器 通知 


到 达 企 业 所 属地 址 空间 的 另 一 —_ wae 
条 路 由 。 在 图 3-10 中 给 出 这 两 mores 

种 替代 方法 ， 前 一 种 方法 显示 
为 前 级 X 被 通告 到 ISP Y 的 路 图 3-10 多 穴 接 人 下 链 路 中 断 的 恢复 

由 器 ， 后 一 种 方法 被 显示 为 被 通告 到 ISP X 的 路 由 需 。 

在 每 条 ISP 连接 处 的 NAT 网 关 通 常 部 署 时 都 激活 带 有 地 址 池 能 力 ， 依 据 ISP 连接 
的 邻近 性 (例如 邻近 前 级 XX 或 前 级 Y) 将 一 个 给 定 报 文 的 内 部 私有 地 址 转换 为 一 个 
公开 地 址 。 通 过 禁止 使 用 NAT 网 关 ， 企 业 边 界 路 由 器 策略 应 该 被 实现 为 ,在 内 部 寻 
址 的 主机 间 最 小 化 或 防止 经 过 该 ISP (可 能 是 多 个 ISP) 而 路 由 流量 


3.6 地址 块 分 配 和 IP 地 址 管理 


(一 | 
八 


:前 级 


o 


在 本 章 ， 我 们 讨论 了 公开 和 私有 IPv4 空间 和 IPv6 空间 的 IP 地 址 块 分 配 技术 。 从 
基本 管理 角度 来 看 ， 就 分 配 的 层次 结构 方面 维护 地 址 分 配 的 一 个 清单 是 至 关 重 要 的 ， 
在 这 个 清单 中 ， 部 署 了 子 网 的 位 置 ， 还 有 任何 其 他 相关 信息 ， 例 如 每 个 子 网 到 其 对 应 
服务 路 由 器 或 交换 机 接口 的 映射 、 在 合适 情况 下 会 有 关联 的 因特网 注册 机 构 的 管理 信 
息 、 问 题 (trouble) 联系 信息 以 及 人 们 关注 的 其 他 信息 。 

负责 地 址 块 分 配 的 许多 组 织 机 构 ， 使 用 表格 或 简单 的 数据 库 应 用 (例如 微软 Ac- 
cess) 保持 这 种 信息 处 于 有 结构 状态 。 虽 然 执行 地 址 块 分 配 和 二 进 制 算术 运算 ， 不 能 
轻松 地 通过 单一 鼠标 点 击 来 操作 表格 ， 但 低层 次 本 机 运行 (underlying homegrown) 的 
Visual Basic 或 perl 代码 ， 可 应 用 在 本 章 讨论 过 的 逻辑 ， 目 的 是 实施 最 佳 拟 合 、 稀 政 
或 随机 地 址 分 配 ， 并 跟踪 记录 得 到 的 分 配 。 当 然 ， 要 准确 地 实施 这 些 操作 ， 并 管理 地 
址 块 分 配 、 移 动 、 修 改 和 删除 ， 必 须 小 心间 慎 为 好 。 

保持 IPAM 全 球 公 司 地 址 分 配 表格 最 新 的 方法 是 一 有 分 配 就 更 新 该 表格 ， 从 而 可 
反映 我 们 的 私有 IPv4、 公 开 IPv4 和 IPv6 以 及 ULA IPv6 地 址 分 配 。 这 种 信息 为 下 一 步 
操作 〈 从 相应 子 网 为 每 个 位 置 分 配 独立 的 卫 地 址 ) 提供 了 必要 的 基础 。 既 然 每 个 分 
支 办 事 处 和 配送 中 心 都 有 IP 子 网 可 向 上 汇聚 到 该 层次 结构 ， 那 么 就 可 开始 地 址 指派 
过 程 了 。 我 们 将 在 本 书 下 一 部 分 中 描述 自动 化 地 址 指派 的 一 种 方式 ， 即 DHCP， 我 们 
将 在 第 14 章 中 讨论 地 址 指派 的 其 他 多 种 手工 配置 方法 。 


Alaa ”动态 主机 配置 协议 (DHCP) 


第 下部 分 讲述 了 IPv4 和 IPv6 的 动态 主机 配置 协议 (DHCP)。 在 技术 综述 之 后 ， 
讲述 了 由 DHCP 支持 的 各 项 应 用 ， 最 后 讲述 其 部 署 和 安全 考虑 因素 。 


345% DHCP 


4.1 315° 


在 因特网 存在 的 早期 日 子 里 ， 当 主机 数 处 于 数 百 台 量 级 时 ， 将 一 个 IP 地 址 指派 
到 一 台 设备 是 相当 简单 平凡 的 。 简 单 地 说 ， 即 在 每 台 主 机 上 手工 输入 配置 参数 之 一 。 


这 种 使 用 


个 硬 编码 IP 地址 的 “一 次 即 可 ”或 前 


态 地 址 指派 过 程 ， 当 然 是 简单 的 ， 


但 它 却 约束 了 在 不 同 网 络 或 子 网 间 的 主机 移动 性 。 支 持 移动 性 的 做 法 ， 要 求 基于 当前 
位 置 或 网 络 (预期 主机 将 与 其 连接 ) 以 一 个 新 IP 地 址 对 主机 重新 配置 的 烦琐 任务 。 

尽管 如 此 ， 您 将 可 能 有 一 组 静态 地 址 用 于 您 所 在 机 构 网 络 上 不 需要 移动 性 的 设 
备 ， 例 如 路 由 器 、 服 务 器 、 卫 PBX 等 。 在 被 分 配子 网 上 哪些 IP 地 址 是 静态 指派 的 、 


哪些 TP 地 址 指派 到 地 址 池上 月 
用 ,保持 跟踪 记录 这 些 信息 是 必要 的 。 一 项 出 


日 于 动态 指派 以 及 哪些 IP 地 址 是 空闲 的 或 预 留 作为 未 来 使 
E 议 的 实践 措施 是 维护 一 个 子 网 IP 清单 ， 


维护 在 每 个 子 网 上 被 指派 的 地 址 记录 ， 以 便 最 小 化 重复 IP 地 址 指派 或 产生 错误 的 IP 
地 址 指派 问题 。 仪 需要 确保 静态 地 址 清单 要 与 实际 配置 在 路 由 器 、 服 务 器 或 静态 寻 址 
设备 上 的 地 址 相 匹 配 ， 就 可 以 了 。 通 过 各 种 形式 的 发 现 或 ping 大 片 扫 描 (sweep) F 


段 ， 实 施 地 址 指派 的 周期 怕 


在 第 14 章 中 讨论 。 


4.2 DHCP 综述 


E 基 线 检查 ， 可 帮助 识别 任何 地 址 指派 的 不 匹配 问题 ， 这 将 


动态 主机 配置 协议 (DHCP) 是 一 个 客户 端 -服务 器 协议 ， 被 连接 到 一 个 卫 网络 
的 设备 用 来 自动 地 获得 一 个 人 P 地 址 。DHCP 是 能 为 IP 网 络 管理 员 节 省 大 量 时间 的 装 
置 。 它 使 一 台 设 备 能 够 广播 对 一 个 P 地 址 的 请 求 ， 在 没有 用 户 介 入 的 条 件 下 ， 在 该 
IP 网 络 内 部 有 一 台 或 多 台 DHCP 服务 器 服务 这 条 请 求 。 对 于 多 数 端 用 户 设备 〈 例 如 


O 本章 


始 各 节 的 依据 是 参考 文献 [11] 的 第 3 章 。 
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笔记 本 计算 机 、VolP 电话 、PDA 和 其 他 设备 ) 而 言 ， 在 设备 启动 或 连接 到 一 条 有 线 
网 络 或 无 线 网 络 时 ， 在 没有 用 户 介 入 的 条 件 下 ，DHCP 过 程 在 “后 台 ” 运 行 并 发 挥 作 
用 (transpire)。DHCP 也 支持 IP 地 址 的 高 效 使 用 ,方法 是 允许 在 动态 分 配 的 地 址 池 
内 ， 在 设备 间 重 用 一 个 IP 地 址 。 一 个 给 定 的 全 地 址 在 一 天 为 一 台 设 备 所 用 ， 在 第 二 
天 可 以 被 另 一 台 不 同 的 设备 所 用 。 

DHCP 是 作为 IPv4 和 IPv6 的 组 成 部 分 得 以 支持 的 。 我 们 将 在 本 章 讨 论 (DHCP 
的 ) IPv4 版 本 ， 在 下 一 章 讨论 (DHCP AY) IPv6 版 本 。 当 我 们 在 本 章 中 使 用 “DH- 
CP” 这 个 术语 时 ,我 们 指 的 是 DHCP 的 IPv4 版 本 。DHCP 是 在 RFC 21310 和 
2132 中 中 定义 的 ， 且 在 后 续 多 个 RFC? 增 加 了 许多 内 容 ，DHCP 是 构建 在 一 个 较 老 
的 协议 启动 协议 (被 称 作 BOOTP) 的 基础 上 的 。BOOTP 最 初 是 在 RFC 9511 中 规 
范 下 来 的 ， 提 供 了 地 址 指派 的 自动 化 方法 ,但 受 限于 将 一 个 给 定 IP 地 址 预 指派 到 
一 个 特定 设备 的 做 法 ， 其 中 以 该 设备 的 网 络 接口 (MAC) 地 址 识别 它 的 。 因 此 ， 
一 台 BOOTP 服务 器 配置 有 一 个 MAC 地 址 列表 以 及 对 应 的 IP 地 址 。 在 不 要 求 每 个 客 
户 端 的 硬件 地 址 的 先 验 知识 条 件 下 ，DHCP 将 这 项 功能 与 将 卫 地 址 指派 到 客户 端的 
增值 能 力 集成 在 一 起 。 实 际 上 ，DHCP 取代 了 BOOTP， 支 持 与 BOOTP 客户 端的 后 向 
兼容 ( 互 操 作 ) 。 

DHCP 支持 三 种 类 型 的 卫 地 址 分 配 。 

1) 自动 化 的 地 址 分 配 。DHCP 服务 器 将 一 个 永久 的 IP 地 址 指派 给 客户 端 。 

2) 手工 地 址 分 配 。 像 BOOTP 一 样 ，DHCP 服务 器 基于 特定 设备 的 硬件 地 址 ， 指 
派 一 个 “固定 的 ”IP 地 址 。 

3) 动态 地 址 分 配 。DHCP 服务 器 指派 一 个 IP 地 址 是 有 限时 间 段 的 ， 在 该 段 时 间 
之 后 ， 该 地 址 可 被 重新 指派 ， 有 可 能 被 指派 到 另 一 台 不 同 的 设备 。 

对 于 要 求 一 个 永久 IP 地 址 指派 的 特定 用 户 和 设备 集合 而 言 ， 通 过 DHCP 的 自动 
地 址 分 配 是 有 用 的 ， 在 这 种 情形 中 ， 对 于 一 个 特定 用 户 或 设备 是 否 要 有 一 个 特定 IP 
地 址 ， 是 没有 要 求 的 。 换 句 话 说， 你 可 预 留 许 多 “永久 的 ”地 址 ， 这 些 地 址 没有 直 
接 将 每 个 P 地 址 与 一 个 特定 的 硬件 地 址 关联 起 来 。 这 种 做 法 是 与 手工 DHCP 形成 鲜 
明 对 比 的 ， 后 者 将 一 个 特定 的 硬件 地 址 与 一 个 对 应 的 IP 地 址 关联 起 来 。 

AY “EH” IP 地 址 ， 通 常情 况 下 ， 动态 地 址 分 配 在 DACP 服务 器 中 设置 地 址 
池 。 在 动态 分 配 情 况 下 ，DHCP 服务 器 将 其 IP 地 址 租 给 客户 端 一 个 固定 的 时 间 段 。 
采用 这 种 方式 ，DHCP 服务 器 在 一 个 给 定时 间 段 〈( 称 作 租 期 时 间 ) 内 将 一 个 卫 地址 
间 派 给 一 个 特定 的 客户 端 ， 当 由 于 租赁 过 期 或 客户 端 放弃 地 址 时 ， 这 时 该 IP 地 址 就 
是 可 用 的 了 ，DHCP 服务 器 就 会 将 该 地 址 重新 指派 给 一 个 不 同 的 客户 端 。 在 DHCP 服 
务 器 实现 内 部 ， 租 赁 时 间 是 一 个 可 配置 的 参数 。 

不 管 DHCP 地 址 分 配 类 型 为 何 ， 一 个 DHCP 客户 端 获取 一 个 地 址 租赁 的 过 程 都 是 
相同 的 。 基 本 过 程 开 始 时 ， 都 是 一 个 DHCP 客户 端 广播 一 条 DHCPDISCOVER 报 文 。 
因为 客户 端 既 没有 一 个 IP 地址， 通常 也 没有 有 关 IP 网 络 的 任何 信息 ， 所 以 它 将 全 堆 


”要 得 到 一 个 完整 列表 ， 请 参见 本 书后 面 的 REC 索引 。 
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地 址 作为 源 地 址 、 将 广播 (全 1) 地 址 作为 目的 地 址 插入 到 IP 首部 内 部 。 让 我 们 假 
定 一 台 DHCP 服务 器 部 署 在 DACP 客户 端 所 连接 的 相同 子 网 上 。 在 接收 到 DHCPDIS- 
COVER 报 文 时 ，DHCP 服务 器 将 确定 在 DHCPDISCOVER 接收 到 的 这 个 子 网 上 ， 它 是 
否 有 一 个 地 址 可 用 。 

如 果 在 地 址 池 中 有 一 个 地 址 可 用 ， 那么 该 DHCP 服务 器 将 向 客户 端 发 送 一 条 DH- 
CPOFFER， 提 供 一 个 IP 地 址 和 关联 的 配置 参数 〈 称 为 选项 (options))。 如 果 有 多 台 
DHCP 服务 器 正在 服务 这 个 子 网 ， 那 么 DHCP 客户 端 可 能 接收 到 一 条 以 上 的 DHCPOF- 
FER。 客 户 端 将 选择 一 个 配置 集合 ， 并 广播 一 条 DHCPREQUEST 报 文 ， 确 定 被 选中 的 
DHCP 服务 器 (客户 端 从 之 接收 到 提供 的 IP 等 参数 ) 。 一 旦 被 选中 的 DHCP 服务 器 将 
地 址 租赁 信息 记录 在 非 易 失 存储 之 中 ， 它 将 以 一 条 DHCPACK 确认 该 条 DHCPRE- 
QUEST， 从 而 将 该 IP 地 址 绑 定 到 DHCP 客户 端 。 这 个 基本 的 消息 流 ， 如 图 4-1 所 示 ， 
有 时 被 称 为 “DORA” 过 程 一 一 发 现 (Discover) 、 提 供 (Offer), WR (Request) 和 
确认 (Ack)。 


DHCPDISCOVER 
SQ DHCPOFFER 
DHCPREQUEST 


DHCP 客户 端 


DHCPACK DHCP 服务 器 


~ 


图 4-1 DHCP “DORA” tý 


在 这 个 简单 的 范例 中 ，DHCP 服务 器 驻 留 在 与 DHCP 客户 端 相同 的 子 网 上 。 客 户 
端 在 该 网 络 上 广播 DHCPDISCOVER 报 文 。 因 为 DHCP 服务 器 驻 留 在 相同 的 网 络 上 ， 
那么 它 接收 到 广播 报 文 ， 并 对 之 进行 处 理 。 因 为 知道 广播 所 发 出 的 网 络 (信息 )， 所 
以 该 DHCP 服务 器 就 可 指派 在 该 网 络 上 一 个 可 用 的 IP 地址。 但 您 是 否 必 须 在 每 个 子 
网 上 都 要 部 署 一 台 DACP 服务 器 呢 ? 幸运 的 是 ， 不 需要 ; 简单 地 说 ,通过 IP 路 由 基 
础 设施 ， 从 子 网 必须 可 到 达 该 DHCP 服务 器 即 可 。 接 收 到 DHCPDISCOVER 广播 报 文 
的 路 由 器 (可 能 是 多 台 ) 将 不 会 传播 广播 报 文 (新 报 文 )， 因 为 这 将 造成 过 度 的 和 不 
必要 的 耳 流 量 。 相 反 ， 该 路 由 器 将 转发 或 中 继 这 条 广播 报 文 到 目的 DHCP 服务 器 
(可 能 是 多 台 ) 。 被 配置 执行 这 项 中 继 功能 的 每 台 路 由 器 被 称 作 一 个 中 继 代理 。 每 个 
中 继 代理 必须 以 服务 该 子 网 的 每 台 DACP 服务 器 的 IP 地 址 进行 配置 。 这 个 配置 参数 ， 
常 被 称 作 DHCP 中 继 地 址 ， 使 路 由 器 能 够 接收 DHCPDISCOVER 广播 报 文 ， 查 找 被 配 
置 成 DHCP 中 继 的 DHCP 服务 器 (可 能 是 多 台 )， 之 后 将 DHCPDISCOVER 报 文通 过 单 
播 直接 传输 到 每 台 DHCP 服务 器 ， 如 图 4-2 所 示 。 

在 上 述 过 程 中 ,该 路 由 器 修改 DHCPDISCOVER 报 文 ， 将 接收 到 DHCPDISCOVER 
的 那个 接口 的 全 地址 插入 到 中 继 代理 (网关) 接口 地 址 字段 。 这 个 参数 使 DACP 服 
务 器 能 够 识别 请 求 一 个 地 址 指派 的 那个 子 网 。 注 意 ， 当 网 关 接 口 地 址 (GIAddr) F 
BRHF, DHCP 服务 器 会 假定 要 被 指派 IP 地 址 的 子 网 与 接收 到 DHCPDISCOVER 的 
那个 子 网 〈 通 过 直接 广播 接收 到 报 文 ) 是 相同 的 。 
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接口 PP 地 址 
MONT 


- 局 域 网 > 
I 10.1.2.0/24 
路 由 器 DHCP 服务 器 
10.1.2.5 
DHCPDISCOVER _ DHCPDISCOVER _ 
广播 单 播 到 10.1.2.5 
GIAddr=0 GIAddr=10.1.1.2 


图 4-2 DHCP Pkl] 


除了 上 面 列 出 的 四 条 报 文 的 交换 过 程 外 ，IETF 采用 了 RFC 4039， 该 RFC 定义 了 
一 个 快速 提交 选项 ， 即 选项 80。 这 个 选项 是 在 下 一 章 定义 的 DHCPv6 相应 内 容 之 后 才 
形成 的 ， 它 将 消息 传播 需求 分 成 两 部 分 ， 方法 是 作为 对 一 条 DHCPDISCOVER 消息 的 
响应 ,使 路 由 器 简单 地 发 送 一 条 DHCPACK。 客 户 端 将 在 其 DHCPDISCOVER 消息 中 包 
含 快速 提交 选项 。 以 一 个 地 址 指派 做 出 响应 的 各 服务 器 将 直接 发 出 一 条 ACK 报 文 ， 
它 也 包含 该 快速 提交 选项 。 对 于 仅 有 有 限 带 宽 可 用 的 移动 性 应 用 (例如 蜂窝 (移动 ) 
电话 ) 而 言 ， 特 别 需要 快速 提交 功能 。 注 意 ， 做 出 响应 的 每 台 服务 器 将 假定 它 所 指 
派 地 址 是 被 租赁 的 ， 所 以 快速 提交 应 该 被 用 在 短 的 租赁 时 间或 仅 由 有 限 数量 服务 器 支 
持 (如 果 正 常情 况 下 ， 有 多 台 服 务 器 服务 该 子 网 ) 的 情况 。 


4.2.1 DHCP 消息 类 型 


我 们 介绍 了 四 种 基本 DHCP 消息 类 型 ， 所 以 让 我 们 在 此 基础 上 进行 扩展 ， 并 浏览 
一 下 DHO 消息 的 全 集 及 其 相应 含义 。 通 常 我 们 忽略 了 这 些 消息 上 的 “DHCP” 前 
级 ， 且 仪 将 第 一 个 字母 大 写 , 但 下 面 是 它们 正式 被 定义 的 情况 。 

1) DHCPDISCOVER。 从 客户 端 向 服务 器 发 出 的 ， 用 于 请 求 DACP 地 址 指派 ; DH- 
CPDISCOVER 会 包括 该 客户 端 要 求 的 参数 或 选项 。 

2) DHCPOFFER。 作 为 对 一 条 DHCPDISCOVER 的 响应 ， 是 从 服务 器 向 客户 端 发 
出 的 ， 向 客户 端 指明 这 是 一 个 IP 地 址 提供 ， 其 中 包括 它 对 应 的 租赁 时 间 (和 其 他 配 
置 参数 ) 。 

3) DHCPREQUEST。 作 为 对 一 条 DHCPOFFER 的 响应 ， 是 从 客户 端 向 一 台 服 务 器 
发 出 的 ， 用 于 接受 或 拒绝 被 提供 的 IP 地 址 ， 其 中 还 包含 期 望 的 参数 设置 或 其 他 参数 
设置 。 期 望 延长 或 重新 请 求 其 现 有 IP 地址 租赁 的 客户 端 也 可 使 用 DHCPREQUEST。 

4) DHCPACK。 是 从 服务 器 向 客户 端 发 出 的 ， 用 于 正面 确认 IP 地 址 租赁 和 关联 参 
数 设置 的 授权 。 从 现在 开始 ， 客 户 端 开始 使 用 该 IP 地 址 和 参数 数值 。 

5) DHCPNAK。 是 从 服务 器 向 客户 端 发 出 的 ， 用 于 负面 地 确认 DHCP 事务 。 该 客 
户 端 必须 释放 使 用 该 IP 地址 ， 如 有 必要 ， 它 需要 重新 发 起 该 过 程 。 

6) DHCPDECLINE。 是 从 客户 端 向 服务 器 发 出 的 ， 用 于 指明 由 服务 器 提供 的 这 个 
IP 地 址 已 经 被 另 一 个 客户 端 所 用 。 那 么 ， 典 型 的 操作 是 ，DHCP 服务 器 将 该 耻 地 址 
标记 为 不 可 用 的 。 

7) DHCPRELEASE。 是 从 客户 端 向 服务 器 发 出 的 ， 将 该 客户 端正 在 释放 IP 地 址 
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的 信息 通知 服务 器 。 之 后 ， 客 户 端 必须 释放 该 IP 地 址 的 使 用 。 

8) DHCPINFORM。 是 从 客户 端 向 服务 器 发 出 的 ， 用 于 从 服务 器 请 求 非 IP 地 址 配 
置 参 数 。 服 务 器 将 形成 一 个 DHCPACK 应 答 ， 带 有 合适 的 相关 联 数值 。 

9) DHCPFORCERENEW。 是 从 服务 器 向 客户 端 发 出 的 ， 为 了 使 一 个 客户 端 得 到 
一 个 新 (不同 ) 的 耳 地 址 ， 强 制 该 客户 端 进 入 INIT 状态 >。 几乎 没有 哪 种 客户 端 实 
现 了 对 这 条 消息 的 支持 。 

10) DHCPLEASEQUERY。 是 从 一 个 中 继 代理 或 其 他 设备 向 服务 器 发 出 的 ， 用 于 
向 DHCP 服务 器 询问 一 个 给 定 的 MAC 地 址 、IP 地 址 或 客户 端 -标识 符 等 数值 是 否 有 一 
个 活跃 的 租赁 及 关联 的 租赁 参数 数值 (主要 由 宽带 接 入 集线器 或 边缘 设备 使 用 ) 。 

11) DHCPREALSEUNASSIGNED 。 是 从 服务 器 向 一 个 中 继 代理 发 出 的 ， 作 为 对 一 

条 DHCPREASEQUERY 的 响应 ， 通 知 该 中 继 代 理 ， 指 明 这 人 台 服 务 器 支持 那个 地 址 ， 但 
却 没有 活路 的 租 任 在 用 

12) DHCPREASEUNKONWN。 是 从 服务 器 向 一 个 中 继 代理 发 出 的 ， 作 为 对 一 
DHCPREALSEQUERY 的 响应 ， 通 知 该 中 继 人 代理， 指明 这 台 服 务 器 不 知道 省 在 请 求 中 所 
指定 的 客户 端 。 

13) DHCPREASEACTIVE。 是 从 服务 器 向 一 个 中 继 代 理发 出 的 ， 作 为 对 一 条 
CPREALSEQUERY 的 响应 ， 其 中 带 有 端点 位 置 和 剩余 的 租赁 时 间 。 

RFC 2131 定义 了 一 些 状态 ， 就 使 用 DHCP 的 IP 地 址 配置 方面 ， 客 户 端 存在 于 这 
些 状态 之 中 。 定 义 了 如 下 状态 。 

1) INIT。 初 始 化 ， 意 味 着 该 客户 端 既 没有 一 个 IP 地 址 也 没有 任何 以 前 的 配置 
言 息 。 

2) INIT-REBOOT。 虽 然 客户 端 有 以 前 的 IP 地 址 信息 ， 但 它 开 始 初始 化 ， 期 望 确 
认 其 配置 。 

3) BOUND。 客 户 端 和 服务 器 同意 它们 之 间 的 I 了 PP 租赁 协议 。 

4) RENEWING。 客 户 端正 在 尝试 刷新 地 址 租赁 。 

5) REBINDING。 客 户 端的 租赁 超期 时 间 正 在 逼近 ， 它 正在 尝试 刷新 地 址 租赁 。 

6) SELECTING。 中 间 状 态 ， 其 中 客户 端正 在 等 待 并 评估 来 自 DHCP 服务 器 (可 
eat) 的 多 条 DHCPOFFER, 

7) REQUESTING。 中 间 状 态 ， 其 中 客户 端 已 选择 一 条 提供 (Offer) ， 并 期 望 接收 
该 条 提供 ， 或 已 经 识别 一 条 提供 ， 指 明 一 个 P 地 址 已 在 使 用 ， 在 这 种 情形 中 它 向 服 
务 器 发 送 一 条 DHCPDECLINE。 

8) REBOOTING。 在 一 次 重启 之 后 ， 客 户 端 正在 尝试 重新 绑 定 。 

简 言 之 ， 刷 新 和 重新 绑 定 之 间 的 区 别 在 于 刷新 请 求 的 紧急 程度 和 传输 模式 ， 其 中 
重新 绑 定 具有 较 高 的 紧急 程度 ， 刷 新 是 单 播 的 ， 重 新 绑 定 是 广播 的 。 当 初步 得 到 一 个 
地 址 租赁 时 ， 客 户 端 设置 两 个 定时 器 

1) Tl =50% 的 租赁 时 间 ， 这 是 默认 的 数值 。 


ta 


” 接 下 来 我 们 将 讨论 DHCP 状态 。 
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2) T2 =87.5% 的 租赁 时 间 ， 这 是 默认 的 数值 。 

通过 在 DHCP 报 文 交 换 内 部 在 相应 的 选项 内 指定 的 数值 ， 依 据 DHCP 客户 端 和 服 
务 器 之 间 的 一 致 协议 ， 可 修改 这 些 定 时 器 数值 。 在 Tl 定时 器 超期 时 ， 客 户 端 进入 刷 
新 状态 ， 并 尝试 刷新 地 址 租赁 ， 方 法 是 向 它 得 到 地 址 租赁 的 DHCP 服务 器 ， 单 播 一 条 
DHCPRENEW 消息 。 如 果 接 收 到 一 条 DHCPACK， 则 客户 端 重新 进入 绑 定 状态 。 如 果 
接收 到 一 条 DHCPNAK， 则 客户 端 释放 该 IP 地 址 的 使 用 ， 并 进入 INIT 状态 。 在 其 他 
情况 下 ， 即 没有 接收 到 一 个 响应 ， 那 么 客户 端 等 待 T2 定时 器 的 超期 ， 之 后 广播 一 条 
DHCPRENEW ， 尝 斌 刷新 地 址 租赁 。 在 原始 服务 器 (地址 租赁 是 从 这 里 得 到 的 ) 下 线 
且 存在 一 台 故 障 切 换 DACP 服务 器 可 刷新 地 址 租赁 时 ， 发 出 广播 请 求 。 

图 4-3 给 出 这 些 DHCP 客户 端 状 态 间 的 状态 转换 图 和 对 应 的 状态 转换 机 制 。 注 意 
图 中 没有 包括 DHCPINFORM 消息 ， 原 因 是 这 条 消息 与 非 卫 地 址 参数 有 关 。 已 配置 一 
个 卫 地 址 的 客户 端 发 出 DHCPINFORM 消息 ， 请 求 其 他 参数 设置 ， 服 务 器 以 一 条 DH- 
CPACK 应 答 ， 指 明 被 请 求 的 值 。 


INIT-REBOOT 


DHCPREQUEST, 


接收 DHCPNAK 


INIT 接收 DHCPNAK 


zy ”接收 DHCPNAK 
‘Elle DHCPNAK DHCPDISCOVER 或 租赁 过 期 
或 发 送 


DHCPDECLINE 


= 
DHCPOFFER, 
DHCPACK, 

DHCPNAK/ ÉX 


T1 过 期 
发 送 DHCPREQUEST 
( 单 播 ) 


214-3 DHCP 状态 转换 [32] 


4.2.2 DHCP 报 文 格式 


让 我 们 仔细 研究 DACP 报 文 ? 中 的 各 字段 以 及 这 些 字段 是 如 何 与 整个 DHCP 过 程 
相关 的 。 图 4-4 显示 字段 布局 ， 我 们 将 在 该 图 后 面 描述 每 个 字段 。 

DHCP 报 文字 段 描述 : 

(1) 操作 码 。 利 用 BootP 这 个 前 辈 协 议 ， 这 个 字段 的 值 是 

1) 1 =BootRequest 

2) 2 = BootReply 


OQ —*& “DHCP HR” EEA IP 报 文 内 部 的 IP 之 上 传输 的 。DHCP“ 应 用 ”使 用 在 本 章 中 讨论 的 
报 文 首部 格式 。 
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Obit 7 8 15 16 23 24 31 
操作 码 (op) 硬件 地 址 类 型 ”硬件 地 址 长 度 
8bit 8bit 8gbit 
事务 ID(xid) 
32bit 
pA 标志 
16bit 16bit 
客户 端正 地 址 
32bit 


“RRI” CZ in IP HB 
32bit 

下 一 台 服 务 器 中 地 址 
32bit 


中 继 代 理 (网 关 )IP 地 址 
32bit 


客户 端 硬 件 地 址 
128bit 
服务 器 主机 名 

512bit 


启动 文件 名 


选项 变 长 
图 4-4 DHCP 报 文 的 各 字段 0321 


注意 DHCP 消息 类 型 (Discover (发 现 ) Offer (提供 ) Request (请 求 ) 等 ) 
实际 上 是 在 选项 字段 中 采用 选项 号 码 53 (DHCP 消息 类 型 ) 定义 的 ， 具 有 如 下 有 效 
数值 。 

1) 1 =DHCPDISCOVER 

2) 2 =DHCPOFFER 

3) 3 = DHCPREQUEST 

4) 4 =DHCPDECLINE 

5) 5 =DHCPACK 

6) 6 =DHCPNAK 

7) 7 =DHCPRELEASE 

8) 8 = DHCPINFORM 

9) 9 = DHCPFORCERENEW 

10) 10 = DHCPLEASEQUERY 

11) 11 = DHCPLEASEUNASSGNED 

12) 12 = DHCPLEASEUNKNOWN 

13) 13 = DHCPLEASEACTIVE 

(2) 硬件 地 址 类 型 。 硬 件 或 MAC 地 址 的 类 型 ， 例 如 以 太 网 、802 等 。 

(3) 硬件 地 址 长 度 。 定 义 了 以 字 节 为 单位 的 MAC 地 址 长 度 。 

(4) 跳 数 。 由 客户 端 设置 为 零 ， 这 个 字段 可 由 客户 端 和 服务 融 之 间 的 每 台 路 由 器 
做 加 1 处 理 。 
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(5) 事务 ID (xid) 。 由 客户 端 选 择 的 一 个 随机 数 ， 目 的 是 将 客户 端 与 服务 器 之 间 
的 消息 和 响应 关联 起 来 。 

(6) 秒 (secs)。 自 客户 端 开始 获取 一 个 IP 地 址 或 刷新 的 过 程 以 来 ， 消 逝 的 
秒 数 。 

(7) 标志 。 这 个 字段 由 这 样 的 DACP 客户 端 使 用 ， 直 到 它 的 IP 协议 软件 被 配置 
之 前 ， 它 是 不 能 接受 单 播 IP 报 文 的 。 对 于 这 样 的 情形 ， 客 户 端 将 这 个 字段 中 的 第 一 
个 比特 设置 为 1， 并 将 剩余 比特 都 设置 为 0。 当 设置 为 1 时 ,服务器 ( 如果 是 局 域 网 
方式 连接 的 ) 或 中 继 代 理 将 向 客户 端 广播 Offer 和 Ack 消息 ; 和 否则， 服务 器 或 中 继 代 
理 将 这 些 消息 发 送 到 yiaddr 字段 中 指定 的 单 播 地 址 。 这 个 比特 有 时 被 称 为 标志 字段 中 
的 广播 比特 。 

(8) 客户 端 卫 地 址 (ciaddr) 。 客 户 端 使 用 的 IP 地址， 这 是 当 客户 端 知道 该 地 址 
时 才 使 用 的 ， 例 如 处 于 BOUND 、RENEWING 或 REBINDING 状态 时 的 情况 。 

(9) 提供 的 全 地 址 (yiaddr)。DHCP 服务 器 指派 的 卫 地 址 ， 将 由 客户 端 使 用 。 

(10) 服务 器 IP 地 址 (siaddr) 。 用 于 启动 的 “下 一 个 ”服务 器 的 卫 地 址 ， 是 由 
DHCP 服务 器 提供 的 。 

(11) 网 关 接 口 地 址 (giaddr)。 接 口 的 IP 地 址 ， 是 在 这 个 地 址 上 接收 到 DHCP 广 
播 的 ， 它 由 中 继 代 理发 出 。 

(12) 客户 端 硬件 地 址 (chaddr) 。 客 户 端 提供 的 客户 端的 链 路 层 或 硬件 地 址 。 

(13) 服务 器 名 (sname), DHCP 服务 器 主机 名 。 

(14) 文件 。 启 动 文件 名 ， 为 null ( 空 ) 或 完全 符合 格式 的 目录 路 径 名 。 

(15) 选项 。 其 他 P 参数 ， 例 如 租赁 时 间 、 域 名 、 缺 省 网 关 和 子 网 掩 码 (要 了 解 
一 个 完整 列表 ， 请 见 下 一 节 ) 。 选 项 字段 的 首 个 四 字 节 总 是 魔术 cookie 数值 (以 十 六 
进 制 表示 ) : 63825363 。 这 是 从 RFC 951 的 原始 BootP 规范 中 继承 下 来 的 ， 目 的 是 出 
于 特定 厂商 的 目的 (比如 ) 来 解释 选项 的 一 种 方式 。 


4.3 DHCP 服务 器 和 地 址 指派 


每 台 DHCP 服务 器 可 被 配置 带 有 多 个 地 址 池 ， 这 些 地 址 池 服 务 于 许多 位 置 的 数 个 
不 同 子 网 。 事 实 上 ， 对 于 一 些 DHCP 服务 器 实现 来 说 ， 出 于 宛 余 性 考虑 ， 可 在 多 台 
DHCP 服务 器 上 配置 相同 的 地 址 池 。 在 第 7 章 将 比较 详细 地 讨论 这 点 内 容 。 在 DHCP 
服务 器 配置 地 址 池 的 所 有 地 址 中 ， 它 跟踪 所 有 P 地 址 的 状态 。 当 一 个 地 址 租赁 给 一 
个 客户 端 时 ， 一 般 情况 下 ， 该 服务 器 跟踪 的 不 仅 是 该 IP 地址 的 租赁 时 间 ， 而 且 还 包 
括 租赁 该 卫 地 址 的 客户 端的 一 个 标识 符 。 虽 然 也 可 使 用 客户 端 标 识 符 字 段 ， 即 选项 
60， 但 典型 情况 下 ， 这 个 标识 符 是 客户 端的 2 JA (MAC) 地 址 ， 是 通过 chaddr 字段 
得 到 的 。 
建议 在 chaddr 字段 上 使 用 客户 端 标识 符 〈 客 户 端 ID) ， 目 的 是 维护 该 设备 的 一 个 
标识 符 ， 即 使 在 链 路 硬件 被 拆除 并 安装 到 另 一 台 设备 上 时 也 要 使 用 该 标识 符 。 但 在 实 
际 中 ， 多 数 设备 没有 提供 一 个 客户 端 ID, K chaddr 字段 的 值 复制 到 客户 端 ID 
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选项 。 
典型 情况 下 ， 在 提供 一 个 地 址 时 ，DHCP 服务 器 使 用 的 基本 决策 过 程 依据 如 下 
信息 


1) 如 果 客 户 端 有 一 个 租赁 的 地 址 (记录 在 DHCP 服务 器 中 ) ， 则 该 服务 器 将 指派 
这 个 地 址 。 

2) 如 果 客 户 端 以 前 有 这 样 一 个 地 址 ， 现 在 过 期 了 或 被 释放 了 ， 但 仍然 还 是 可 用 
的 ， 则 该 服务 器 将 指派 这 个 地 址 。 

3) 如 果 客 户 端 在 被 请 求 卫 地 址 选项 (选项 50) 中 包含 一 个 地 址 ， 且 该 地 址 是 可 
用 的 ， 则 服务 器 将 指派 这 个 地 址 。 

4) 服务 器 将 从 满足 如 下 条 件 的 子 网 的 一 个 地 址 池 中 指派 一 个 可 用 的 地 址 ， 即 如 
果 GIAddr 字段 为 零 ， 则 该 子 网 为 接收 到 DHCPDISCOVER 广播 的 子 网 ， 如 果 GIAddr 
值 非 零 ， 则 该 子 网 为 由 GIAddr 指明 的 子 网 。 另 一 个 准则 依据 DHCPDISCOVER 报 文 内 
部 各 参数 ， 如 果 有 多 个 地 址 池 服 务 存在 疑问 (不 知道 使 用 哪个 地 址 池 时 ) 的 子 网 ， 
该 准则 可 决定 从 哪个 地 址 池 中 得 到 指派 。 一 般 地 说 ， 这些 参 数 被 称 作 客户 端 类 
(class) 参数 ， 接 下 来 将 讨论 该 内 容 。 


4.3.1 依据 类 的 设备 识别 


客户 端 类 参数 为 DHCP 客户 端 向 DACP 服务 器 提供 附加 信息 提供 了 一 种 方法 ， 同 
时 也 为 DHCP 服务 器 识别 要 求 唯一 卫 地 址 或 参数 指派 的 客户 端 提供 了 一 种 方法 。 例 
如 ， 您 也 许 希 望 为 VoIP 设备 专用 一 个 地 址 池 ， 为 数据 设备 专用 一 个 独立 的 地 址 池 。 
这 种 做 法 的 动机 来 源 可 能 是 管理 问题 或 源 路 由 策略 (来 自 相 应 设备 的 语音 报 文 与 数 
据 报 文 的 不 同 策略 ) 。 多 数 DHCP 服务 器 (包括 可 从 因特网 系统 联盟 (ISC) 和 微软 
公司 得 到 的 那些 DHCP 服务 器 ) 支持 将 匹配 的 厂商 类 或 用 户 类 的 数值 加 以 指定 的 作 
法 ， 这 样 做 的 目的 是 提供 这 样 的 分 类 处 理 。 在 从 一 个 地 址 池 中 指派 一 个 地 址 时 ， 依 据 
准则 ，DHCP 服务 器 可 被 配置 成 关联 厂商 类 或 用 户 类 的 一 个 特定 数值 或 一 组 数值 。 
让 我 们 考虑 一 个 范例 。 回 顾 第 3 章 中 为 IPAM 全 球 公 司 分 配 地 址 空间 时 ， 我 们 为 
旧金山 的 VoIP 设备 分 配子 网 10. 16. 128. 0/23。 许 多 组 织 机 构 在 一 个 位 置 分 配 单 一 子 
网 ， 由 于 不 同 设备 在 初始 化 和 配置 要 求 方面 的 不 同 ， 它 为 不 同 的 VoIP 设备 厂商 定义 
两 个 独立 的 地 址 池 。 在 IPAM 全 球 公 司 的 情形 中 ， 我 们 将 在 10. 16. 128. 0/23 子 网 内 部 
为 “厂商 X” 的 VoIP 设备 定义 一 个 地 址 池 ， 在 同一 子 网 内 为 “ 广 商 Y” 的 VoIP 设备 
定义 一 个 不 同 的 地 址 池 。 那 么 我 们 在 IPAM 全 球 公司 的 DHCP 服务 器 上 为 每 个 地 址 池 
定义 一 个 池 ( 共 两 个 地 址 池 )， 比 如 10. 16. 128. 20 ~ 10. 16. 128. 250 地 址 区 间 和 
10. 16. 129. 20 ~ 10. 16. 129. 250 地 址 区 间 。 出 于 简单 性 考虑 ， 我 们 将 它们 表示 为 相等 
的 尺寸 大 小 ， 但 并 不 要 求 这 样 做 。 在 我 们 的 IP 子 网 清单 中 ,无 论 在 一 个 表格 、 数 据 
ER IP 地 址 管理 系统 哪 一 种 表示 法 中 ， 我 们 都 能 够 在 这 些 对 应 的 子 网 内 记录 这 些 地 
址 池 。 我 们 也 应 该 记录 了 静态 地 址 指派 ， 例 如 10. 16. 128. 1 为 一 台 路 由 器 所 用 ， 
10. 16. 128. 6 为 一 台 服 务 器 所 用 等 。 

在 图 4-5a 中 ， 我 们 希望 配置 我 们 的 DHCP 服务 器 ， 以 便 在 VoIP 电话 厂商 之 间 做 
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出 区 分 ， 并 从 不 同 地 址 池 指 派 地 址 。 第 一 步 是 确定 在 DHCP 报 文 中 的 什么 信息 可 被 用 
于 唯一 地 识别 每 种 设备 类 (如 VoIP 电话 或 笔记 本 计算 机 )。 典 型 情况 下 ， 您 的 VoIP 
电话 提供 商 将 通知 您 ， 在 厂商 类 标识 符 选 项 (选项 60) 中 有 一 个 特定 的 字符 串 ; 让 
我 们 假设 , 虽然 原始 但 足够 可 用 的 假定 这 个 字符 串 是 “vendorX” (用 于 识别 厂商 X) 
和 “vendorY”( 用 于 识别 厂商 Y)。 


class“vendor—x”{ 

match if (vendor—class—identifier=“vendorX”); 
} 
class“vendor—y{ 

match if (vendor—class—identifier=“vendorY ”’); 


subnet 10.16.128.0 netmask 255.255.254.0 
pool { 
allow members of “vendor-x”; 
range 10.16.128.20 10.16.128.250; 


上 
pool { 
allow members of “vendor—y”; 
range 10.16.129.20 10.16.129.250; 
i 
J 


a) 


class“vendor—x”{ 
match if (vendor-class—identifier“vendorX”); 
option tftp—server—name sf—tftp.ipamworldwide.com/ 

1 

了 

class“vendor—y”{ 

i match if (vendor-class-identifier=“vendor Y”); 

了 


subnet 10.16.128.0 netmask 255.255.254.0 


pool { 
allow members of “vendor—x”; 
range 10.16.128.20 10.16.128.250; 
option routers 10.16.128.1 . 10.16.129.1 


pool ( 
allow members of “vendor—y”; 
range 10.16.129.20 10.16. £29.250; 
option routers 10.16.129.2 
option domain-name-servers 10.16.129.11.. 


b) 


图 4-5 使 用 DHCP 配置 客户 端 
a) 使 用 DHCP 配置 伪 码 的 客户 端 分 类 范例 (依据 参考 文献 [35] ) 
b) 为 DHCP 客户 端 依据 类 指定 附加 的 配置 信息 (依据 参考 文献 [35 ]) 


我 们 可 依据 图 4-5a 中 的 范例 ， 在 DACP 服务 器 中 为 每 个 厂商 定义 一 个 类 ， 但 语 
法 将 取决 于 您 的 DHCP 服务 器 厂商 (或 IPAM 工具 ) 。 在 这 个 范例 中 ， 我 们 配置 DHCP 
服务 器 将 发 送 DHCP FRC ( 带 有 选项 60 = “vendorX”) 的 设备 分 类 为 vendor-x 类 的 
设备 。 类 似 地 ， 通 过 定义 厂商 类 型 标识 符 选项 ， 依 据 图 4-5a 中 的 match-if (匹配 条 
件 ) 语句 ， 使 其 具有 值 “vendorY”， 则 我 们 定义 了 区 分 厂商 Y 设备 的 一 个 类 。 男 外 ， 
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可 设置 第 三 种 地 址 池 ， 作 为 不 匹配 其 他 已 定义 客户 端 类 的 各 客户 端的 “默认 ”地 
址 池 。 

既然 我 们 定义 了 我 们 的 两 个 类 ， 这 使 DHCP 服务 器 能 够 将 从 属于 一 个 类 或 另 一 个 
类 的 设备 发 出 的 报 文 加 以 识别 ， 则 现在 我 们 能 够 命令 服务 器 如 何 处 理 这 些 请 求 。 在 对 
应 的 子 网 声明 语句 内 ， 我 们 可 定义 两 个 地 址 池 ， 原 因 是 我 们 希望 区 分 这 两 个 设备 类 的 
地 址 指派 。 在 我 们 的 10. 16. 128. 0/23 子 网 内 部 ， 我 们 将 vendor-x 类 设备 的 一 个 地 址 
池 定 义 为 包含 地 址 10. 16. 128. 20 ~ 10. 16. 128. 250， 将 vendor-y 类 设备 之 子 网 上 的 第 
二 个 地 址 池 定 义 为 包含 地 址 10. 16. 129. 20 ~ 10. 16. 129. 250， 在 图 中 映射 到 类 的 部 分 
加 了 阴影 。 

当 依 据 图 4-5a 进行 配置 时 ,为 了 区 分 设备 类 ， 现 在 DHCP 服务 器 将 检查 来 自 
10. 16. 128. 0/23 子 网 上 设备 的 每 条 DHCPDISCOVER 报 文 ， 之 后 为 厂商 X 设备 指派 来 
自 10. 16. 128. 20 ~ 10. 16. 128. 250 地 址 池 的 一 个 地 址 ， 为 厂商 Y 设备 指派 来 自 
10. 16. 129. 20 ~ 10. 16. 129. 250 地 址 池 的 一 个 地 址 。 注 意 ， 可 能 存在 您 希望 在 每 条 这 
样 的 地 址 池 声 明 语 句 内 定义 的 其 他 参数 或 选项 设置 ， 以 便 依据 每 个 类 的 设备 提供 配置 
言 息 ， 稍 后 我 们 将 讨论 。 

取决 于 您 部 署 的 DHCP 服务 器 的 厂家 ， 会 存在 多 种 菜单 界面 或 文本 文件 编辑 器 和 
准则 ， 以 这 些 工 具 来 确定 地 址 指派 逻辑 。 例 如 ,微软 的 DHCP 服务 器 可 通过 一 个 
Windows 图 形 用 户 界面 (GUL) 进行 配置 ， 而 ISC DHCP 服务 器 可 通过 文本 编辑 器 进 
行 配 置 。 但 是 ， 除 了 用 户 类 和 厂商 类 外 ， 在 定义 客户 端 类 方面 ，ISC DHCP 提供 了 更 
多 的 灵活 性 ; 在 进行 客户 端 类 人 处理 时 ， 可 检查 并 过 滤 报 文中 的 任何 参数 ， 包 括 用 于 
MAC 地 址 过 滤 的 chaddr 字段 或 存在 的 任何 其 他 参数 。 对 于 混合 ISC 和 微软 的 环境 ， 
使 用 一 个 中 心 化 的 IPAM 系统 可 有 助 于 抽象 各 厂商 的 独特 界面 ， 并 以 单一 界面 支持 两 
者 的 配置 。 
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客户 端 可 请 求 特定 选项 的 设置 ， 而 服务 器 可 依据 DHCP 服务 器 配置 指派 这 些 选项 
和 其 他 参数 。DHCP 管理 员 可 定义 要 向 所 有 或 某 些 DHCP 客户 端 指派 的 选项 组 ， 依 据 
的 是 客户 端的 硬件 地 址 、 客 户 端 类 值 或 其 他 DHCP 报 文 参数 。 

如 在 前 一 节 讨论 的 情况 ， 我 们 为 IPAM 全 球 公司 的 旧金山 办 事 处 依据 厂商 对 应 的 
VoIP 设备 ， 设 置 两 个 客户 端 类 。 这 些 类 的 设备 将 可 能 要 求 不 同 的 配置 参数 。 例 如 ， 
Cisco VoIP 设备 典型 地 要 求 选 项 码 66 或 130， 而 Avaya VoIP 设备 要 求 选 项 172。 我 们 
已 经 描述 过 客户 端 类 如 何 被 用 来 配置 DHCP 服务 器 ， 使 其 区 分 不 同 的 DHCP 客户 端 。 
现在 我 们 为 每 个 地 址 池 关 联 选 项 (可 能 是 多 个 选项 )， 这 些 地 址 池 将 提供 给 各 客户 
端 ， 它 们 从 相应 地 址 池 中 接收 地 址 。 这 种 做 法 的 一 个 范例 如 图 4-5b 中 高 层 样 例 配 置 ， 
它 包 括 带 有 类 和 地 址 池 语 句 的 选项 声明 ， 来 定义 向 客户 端 提供 的 其 他 参数 。 男 外 ， 手 
T DHCP 地 址 预 留 的 做 法 ,支持 将 一 个 硬件 地 址 映射 到 一 个 特定 的 IP 地 址 ， 也 可 为 
设备 定义 关联 的 DHCP 选项 。 


66 IP 地 址 管理 原理 与 实践 


表 4-1 列 出 已 定义 的 当前 DHCP 选项 集合 。“ 代 码 ” 列 指明 选项 码 或 号 ,， “名称 ” 
列 给 出 对 应 的 选项 名 称 。 注 意 “Len” (KE) 列 指明 在 选项 内 部 长 度 字 有 段 的 数值 。 
选项 总 长 度 是 这 个 数值 加 上 两 个 字 节 ， 其 中 一 个 字 节 是 代码 ， 一 个 字 节 是 长 度 字段 


自身 。 


表 4-1 DHCP 选项 集合 


代码 名 称 ea a x 参考 文献 
0 填充 0 无 RFC 2132! 
1 FES 4 “TP 地 址 ”格式 中 的 子 网 掩 码 RFC 2132! 
以 s 描述 的 .与 UTC 的 时 间 偏 移 
2 时 间 偏 移 4 | (RFC 4833 使 该 值 废弃 不 用 ,该 RFC 中 | REC 2132133 
规范 了 使 用 选项 100 和 101) 
3 路 由 器 N 49 路 由 器 (默认 网 关 ) 地 址 RFC 2132133 
4 时 间 服 务 器 N N/4 时 间 服 务 器 地 址 RFC 2132133 
5 名 称 服 务 器 N N/4 IEN-1162 名 称 服 务 器 地 址 RFC 2132133 
6 域名 服务 器 N N/4 DNS 服务 器 地 址 RFC 2132133 
7 日 志 服 务 器 N lara ai ia CLS RFC 2132! 
8 配额 (quotes ) 服务 器 N N/4 “SRR” URS HH RFC 2132133 
9 LPR 服务 器 N N/4 线 式 打印 机 服务 器 地 址 RFC 213213 
10 影像 (impress) 服务 器 N N/4 图 像 式 影像 服务 嚣 地址 RFC 21321 
11 RLP 服务 器 N N/4 资源 定位 服务 器 地 址 RFC 213213 
12 主机 名 N BP hig EL EAE E RFC 21323 
13 启动 文件 尺寸 2 oo eee Ta nea RFC 213218 
i4 法 律 依据 导出 N 在 客 PS BUNT , 客 户 端 应 该 将 其 内 arcam 
(Merit dump) 文件 核 映 象 导 出 到 的 文件 路 径 名 
15 域名 N 客户 端的 DNS 域名 RFC 2132133 
16 交换 ( Swap) 服务 器 N 交换 服务 器 地 址 RFC 2132133 
17 根 路 径 N 客户 端的 根 磁盘 的 路 径 名 RFC 2132133 
18 扩展 文件 N |g A hey ob TEIP AÈ pc 21320 
19 转发 开 / 关 1 使 能 /禁止 IP 报 文 转发 RFC 213213 
于 指定 非 本 地 》 1 的 报 文 .使 
20 源 路 由 开 / 关 1 oo 的 报 文 ,使 RFC 2132! 
对 于 指定 非 本 地 源 路 由 的 报 文 ,为 可 
21 策略 过 滤器 N | 被 转发 IP 报 文 ,指定 可 接受 的 非 本 地 | RFC 21321 
下 一 跳 
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(8) 
代码 名 称 aa a xX 参考 文献 
(长 度 ) 
2 客户 端 准 备 重组 的 数据 报 最 大 尺寸 
22 最 大 数据 报 重新 组 装 尺 寸 | 2 "| RE 
ae 指定 为 一 个 16bit 的 无 符号 整数 aoe 
在 外 发 报 文 的 IP 首部 TTL 字段 中 
2 默认 IP TTL 1 , [33] 
i sia 使 用 的 默认 1P 存活 时 间 数值 eon 
He RFC 1191, 当 执行 路 径 最 大 传 
， 输 单 元 (MTU ) 发 现时 ,以 s 为 单位 表示 
24 径 MT EA Ey 4 [33] 
fe ere 的 超时 ; MTU 发 现 有 助 于 最 小 化 路 径 | RPG 2182 
上 的 报 文 分 段 
He RFC 1191, 当 执行 路 径 最 大 传 
25 路 径 MTU 平稳 状态 表 N | 输 单元 (MTU ) 发 现时 ,所 使 用 MTU R | RFC 213213 
寸 的 一 个 表 
26 接口 MTU 2 这 个 设备 接口 所 用 MTU 的 数值 RFC 2132133 
指明 在 客户 端的 网 络 内 部 的 所 有 子 
27 所 有 子 网 都 是 本 地 的 1 网 是 否 使 用 本 地 子 网 ( 客户 端 连接 的 子 | REC 21321 
网 ) 相 同 的 MTU 
28 广播 地 址 4 规范 客户 端子 网 所 用 的 广播 耳 地 址 | REC 2132133 
EJI y 站 FAL AF iy i 行 wu 
as MEREM i IE A F im e B TK ÍT T E Rc aigi 
发 现 
规范 客户 端 是 否 应 该 对 执行 掩 码 发 
<UL PEL At oe 33 
30 SENS 1 | 现 的 其 他 客户 端 做 出 响应 RFC 2132 
sy 户 站 且 否 Na 该 行 a 
51 路 由 器 发 现 i 规范 客 端 是 否 应 该 执行 路 由 器 ane 0152 
发 现 
规范 客户 端 应 该 向 其 直接 发 送 路 由 
请 求 地 二 4 
32 路 由 器 请 求 地 址 器 请 求 报 文 的 耳 地 址 RFC 2132 
秽 范 客户 端 应 该 在 其 路 由 缓存 中 安 
装 的 一 组 静态 路 由 ;列表 为 “目的 地 网 | RFC 2132'% 
33 态 N IŽ : 
eSB 络 一 一 下 一 跳 路 由 器 ”对 (RFC 3442 定 | REC 3422136 
义 无 类 静态 路 由 选项 121 后 ,被 废弃 ) 
规范 在 ARP 消息 中 客户 端 是 否 应 该 
34 尾部 (Trailer) 封装 1 尝试 协商 使 用 2 层 帧 尾部 (类似 首部 ，| RFC 2132133 
但 位 置 在 帧 净 荷 的 尾 端 ) 
35 ARP 超时 4 ARP 缓存 超时 ,以 s 表示 RFC 2132133 
、 规范 在 一 个 以 太 网 接口 上 客户 端 是 es 
36 以 太 网 封装 1 应 该 使 用 以 太 网 卫 还 是 IEEE 802 3 RFC 2132 
37 默认 TCP TTL 1 默认 的 TCP 存活 时 间 数 值 RFC 2132133 
38 anne 4 | TCP 保持 存活 间隔 ,以 s 为 单位 表示 | RFC 2132 
(keepalive ) 时 间 
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( 续 ) 
Len 
TE 名 称 4 义 参 tH 
代码 BB (长 度 ) a 考 文 献 
出 于 与 较 老 实现 的 兼容 性 考虑 ,规范 
TCP 保持 存活 垃 
39 pone ii 1 | 在 TCP 保持 存活 消息 内 部 ,客户 端 是 否 | REC 21320 
arbage 
oe 应 该 发 送 一 个 字 节 的 “垃圾 ” 
40 NIS 域 N 网 络 信息 服务 (NIS ) 域 RFC 2132133 
41 NIS 服务 器 N N/4 网 络 信息 服务 服务 器 地 址 RFC 2132'3 
42 NTP 服务 器 N N/4 PAG A E ASS A He dE RFC 2132! 
43 厂商 特定 (信息 ) N 厂商 特定 信息 RFC 2132133 
N/4 NETBIOS 时 间 服 务 器 ( 即 WINS 
44 NETBIOS 名 字 N 33 
名 字 服 务 器 服务 器 ) 地 址 RFC 2132 
N/4 NETBIOS 数据 报 分 发 (NBDD ) 
45 NBDD 服 N 33 
服务 器 服务 器 地 址 RFC 2132 
将 客户 端 指派 为 一 个 特定 的 NET- 
4 NETBIOS 节点 类 型 1 33 
6 S 节点 类 BIOS 节点 类 型 RFC 2132 
47 NETBIOS 范围 N 为 客户 端 指派 NETBIOS 范围 RFC 2132133 
48 X 窗口 字体 服务 器 N/4 窗口 字体 服务 器 地 址 RFC 2132133 
49 X 窗口 显示 管理 器 N/4 窗口 显示 管理 器 地 址 RFC 2132133 
- 户 端 请 求 的 了 P 地 二 一 条 发 现 
m 地 址 请 求 à = 端 请 求 的 IP 地 址 (在 一 条 发 现 gica 
消息 内 ) 
客户 端 请 求 的 IP 地 址 租赁 时 间 (在 
51 地 址 时 间 4 er a dy RFC 2132133 
一 条 发 现 或 请 求 消息 内 ) 
首 明 “sname” 和 /或 “file"”DHCP 首部 
字段 包含 其 他 DHCP 选项 信息 ,如 果 返 
52 选项 过 载 1 ein — | REC 21321331 
cacti 回 到 客户 端的 选项 超出 了 消息 中 的 正 
常 选项 空间 
DHCP 消息 类 型 , 见 我 们 在 本 章 前 面 
53 DHCP 消息 类 型 1 , RFC 2132133] 
用 讨论 部 分 (发 现 ,提供 等 ) wae 
(比如 ) 为 了 在 多 项 提供 间 做 出 区 
分 ,为 识别 服务 器 ,在 提供 (Offer) (以 
4 DHCP 标识 符 4 _. n [33] 
i OPIPA 及 请 求 ( Request) 和 可 选 的 ACK NAK) Beare 
中 提供 的 DHCP 服务 器 识别 
客户 端 所 请 求 参数 的 DHCP 选项 代 
55 BM N i F [33] 
数列 表 码 号 的 列表 RFC 2132 
包含 一 条 错误 消息 的 文本 ;在 一 条 发 
送 到 客户 端的 Nak 消息 中 可 由 服务 器 
56 DHCP 错误 消息 文本 N | 使 用 ,或 在 一 条 拒绝 消息 中 由 客户 端 使 | REC 2132133] 
用 ;例如 ,该 文本 可 被 包含 在 日 志 绢 
节 中 
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( 续 ) 
Len 
wie 名 称 也 E 义 参考 文献 
代码 ZB (长 度 ) a 
Pi Ais EE 最 大 DHCP 消息 
57 最 大 DHCP 消息 尺寸 2 Pe aires ep Meds 消 RFC 2132! 
从 地 址 指派 时 间 到 客户 端 进入 刷新 
58 刷新 时 间 (T1 4 ork pe mares RFC 2132! 
ee 状态 之 间 的 间隔 
从 地 址 指派 时 间 到 客户 端 进入 重新 
59 重新 绑 定 时 间 (T2 4 nei RFC 2132! 
Pale eer) 绑 定 状态 之 间 的 间隔 
一 由: 一 | D B JEAN 商 特定 的 标 
PA 一 商 类 标识 符 # Pi 端 用 来 指派 一 个 厂商 特定 的 标 pC Di 
61 客户 端 人 D N 客户 端 标 识 符 RFC 2132! 
62 Netware/IP 域 N Netware/IP 域名 RFC 2132! 
63 Netware/IP 选项 N Netware/IP 子 选 项 RFC 2132133 
64 NIS + 域 N NIS + 客户 端 域名 RFC 2132133 
65 NIS + 服务 器 N NIS + IKI Hehe RFC 21323 
TFTP 服务 器 名 ; 1“ sname” DHCP 首 
66 TFTP 服务 器 名 N | 部 字段 由 其 他 选项 过 载 时 ,可 以 加 以 | RFC 2132! 
使 用 
启动 文件 名 ; 4 “file” DHCP 首部 字 
7 sy AEA N 2 33 
caida 段 由 其 他 选项 过 载 时 ,可 以 加 以 使 用 | RPC 2132 
68 家 乡 代理 N N/4 移动 IP 家 乡 代 理 地 址 RFC 2132133 
N/4 简单 邮件 传输 协议 (SMTP ) 服务 
69 SMTP 服 N a RFC 2132133 
KI ir 器 地 址 ,用 于 外 发 电子 邮件 
N/4 邮箱 协议 ( Post Office Protocol ) v3 
70 POP3 服务 器 N (POP3 ) 服务 器 地 址 ,用 于 进入 的 电子 | RFC 21320 
邮件 检索 
N/4 网 络 新 闻 传输 协议 (NNTP) 服务 
71 NNTP 服 N 33 
民 务 器 器 地 二 RFC 2132 
72 WWW 服务 器 N N/4 万 维 网 ( WWW ) 服务 器 地 址 RFC 2132133 
N/4 Finger 服务 器 地 址 ;finger 服务 器 
73 IRC 服务 器 N 支持 基于 登录 名 、 登 录 时 长 以 及 其 他 参 | RFC 213213 
数 来 检索 主机 用 户 信 息 
ER] ee aK 
z4 Finger 服务 器 N N/4 因特网 中 继 聊天 (JIRC ) 服务 器 RFC 2132133 
地 址 
N/4 街 谈 服务 器 地 址 ; 街 谈 是 一 项 
E 街 谈 33 
75 StreetTalk ( #718 ) 服务 器 N Banyan Vines 用 户 和 资源 目录 RFC 2132 
N/4 街 谈 目录 助理 (STDA) 服务 器 地 
76 STDA 服务 器 N 址 ; 街 谈 是 一 项 Banyan Vines 用 户 和 资 | RFC 2132! 


源 目 录 
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( 续 ) 
代码 名 称 oe a xX 参考 文献 
(长 度 ) 
77 用 户 类 型 N 用 户 类 型 标识 符 REC 30041381 
N/4 服务 位 置 协议 (SLP) 目录 代理 
7 SLP 目录 代 玫 N+1 [39] 
8 SLP 目录 代理 十 IP 地 址 (可 能 有 多 个 地 址 ) RFC 2610 
79 SLP 服务 范围 N We 代理 被 配置 使 用 的 SLP 服务 RFC 26101391 
范围 
快速 提交 一 一 针对 移动 性 或 额外 负 
担 受 约束 的 应 用 而 言 , 请 求 一 个 两 报 文 
Mute HAAS , F [40] 
ý i ° | pHcp 事 务 , 而 不 采用 正常 的 四 报 文 | RPE 4089 
DORA 过 程 
完全 合格 的 域名 (FQDN ) 一 一 定义 
81 客户 端 FQDN N | 客户 端的 FQDN, 以 及 客户 端 或 DHCP | RFC 4702!“ 
服务 器 是 否 应 该 更 新 DNS 
£ 中 继 代 理 信息 一 一 由 中 间 的 中 继 代 
82 继 代理 信息 N aaa F 2 
中 继 代理 理 提供 的 其 他 客户 端 信息 REG 3046 
83 寻 特 网 存储 名 服务 (iSNS) | N ISNS 服务 器 地 址 和 ISNS 应 用 信息 REC 4174143 
84 未 指派 E — RFC 3679!“ 
N/4 要 联系 的 Novell 目录 服务 
85 NDS 服务 器 N (NDS) 服 务 器 IP 地 址 ,目的 是 NDS 客 | RFC 22411% 
户 端 认 证 并 访问 NDS 目录 库 
容 户 端 应 该 联系 的 库 的 NDS 树 
a NDS 树 名 称 i 和 端 应 该 联系 的 NDS 库 的 NDS 树 RTGS 
名 称 
客户 端 应 该 使 用 的 NDS 库 内 部 的 _ 
7 ND MC N 45 
8 S 上 下 文 NDS 初始 上 下 文 RFC 2241 
BCMCS 域名 (FQDN ) 列表 ,用 来 构造 
da 广播 和 组 播 服务 器 N 接 下 来 的 SRV 查询 (可 能 是 多 条 查询 ) reo 
(BCMCS) 控 制 器 域名 (BCMCS 被 用 于 3G 无线 网 络 , 使 移动 
手机 能 够 接收 广播 和 组 播 服 务 ) 
N/4 BCMCS 控制 器 IP 地 址 ( 可 能 是 
多 个 地 址 ) (BCMCS 被 用 于 3G 无 线 网 
BCMCS 控 IPv4 地 N [46] 
8? CMOS gafla ee 地址 络 ,使 移动 手机 能 够 接收 广播 和 组 播 | RPC 4280 
服务 ) 
Sines 认证 选项 ,依据 DHCP 认证 协议 ,在 
90 证 N ， RFC 311814] 
~ 客户 端 和 服务 器 之 间 传 递 认证 信息 ae 
EPRE 在 这 次 租赁 期 (依据 一 条 DHCP 租赁 
91 E 4 查询 消息 查询 得 到 的 数值 ) 上 与 该 客户 | RFC 4388148 
事务 时 间 选 项 Sei a i" 
端 最 近 一 次 事务 以 来 的 秒 数 
依据 一 条 DHCP 租赁 查询 消息 查询 
92 关联 的 IP 选项 N 得 到 的 数据 ,与 该 客户 端 关联 的 人 地 | REC 4388/48! 


址 列表 
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( 续 ) 
Len 
三 A Re D A> X% 参 击 | 
代码 BB (长 度 ) a 考 SC HK 
PXE 客户 端 系统 架构 类 型 ,每 个 类 型 
93 PXE 客户 端 系 统 N | 都 被 编码 为 16bit 代码 , 例如 Intel | REC 4578L49] 
x86PC .DEC Alpha .EFI x86-64 等 
PXE 客户 端 网 络 接口 标识 符 ,针对 接 
94 PXE 客户 端 网 络 接口 3 口 类 型 .接口 主 版 本 号 和 接口 次 版 本 号 | RFC 4578/4! 
分 别 使 用 不 同 的 字 节 编码 
轻 量 目录 访问 协议 服务 器 ; 这 个 选项 
95 LDAP N | fH Apple 计算 机 使 用 ,但 没有 发 布 指导 | RFC 36791 
性 的 RFC 
96 未 指派 一 一 RFC 3679! 
带 有 编码 类 型 和 标识 符 数 值 的 PXE 
97 PXE 客户 端 机 器 标识 符 N ， cree RFC 45781% 
ee Oma 客户 端 机 器 标识 符 coe 
能 够 处 理 认证 请 求 之 服务 的 位 置 列 
98 用 户 认 证 协议 (UAP) N | 表 (URL), 是 适应 开放 组 的 UAP 封 | RFC 24851” 
装 的 
服务 器 的 位 置 , 依 据 服 务 器 提供 的 以 
99 城市 (civic ) 位 置 一 | 国家 特定 城市 (例如 邮编 ) 格式 ,最 接 | RFC 4776"! 
近 客 户 端的 网 元 或 者 就 是 客户 端 自身 
1 编码 
a so 过 依据 IEEE 1003. 1 TZ (POSIX ) 编码 pe aaa 
的 时 区 
= . 参考 一 个 本 地 (客户 端 相 关 的 )TZ 数 
101 时 区 数据 库 N : 52 
时 区 数据 上 据 库 来 查询 时 区 RFC 4833 
102 ~111 未 指派 一 一 RFC 3679! 
NetInfo 父 服务 器 地 址 :虽然 没有 发 布 
指导 性 的 RFC ,但 这 个 选项 由 Apple 计 
112 Netinfo 地 二 N 44 
etinfo 地 址 算 机 使 用 ;Netmnfo 是 用 于 Apple 设备 的 RFC 3679 
一 个 分 布 式 数据 库 用 户 和 资源 信息 
NetInfo 父 服务 器 标签 :虽然 没有 发 布 
指导 性 的 RFC ,但 这 个 选项 由 Apple 计 
3 ti pp [44] 
11 Netinfo #7 N 算 机 使 ,NetInfo 是 用 于 Apple 设备 的 RFC 3679 
一 个 分 布 式 数据 库 用 户 和 资源 信息 
统一 的 资源 定位 器 ;虽然 没有 发 布 指 
114 URL N | 导 性 的 RFC ,但 这 个 选项 由 Apple 计算 | REC 367914 
机 使 
115 未 指派 一 一 RFC 36791441 
间 令 客户 端 是 否 自 动 配置 一 个 链 路 
本 地 地 址 (69. 254. 0. 07/16 ) 。 这 个 选项 
DHCP fi 来 通知 客户 
116 自动 配置 j | 和 人 


端 ,告知 DHCP 服务 器 没有 IP 地 址 可 
指派 ,客户 端 可 以 (或 不 可 ) 进行 自动 
配置 
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代码 


名 称 


Len 
(长 度 ) 


& x 


117 


名 字 服 务 搜索 


N 


以 优先 级 顺序 列 出 一 个 或 多 个 名 字 
服务 ,客户 端 应 该 用 之 进行 名 字 解 析 : 
DNS NIS NIS + 或 WINS 


RFC 293715% 


118 


子 网 选择 


确定 一 个 IP 子 网 (地 址 ), 从 中 向 这 
个 客户 端 分 配 一 个 卫 地 址 一 一 覆盖 
GIAddr 设 置 或 DHCP 服务 器 接口 (是 
在 该 接口 上 接收 到 一 条 广播 发 现 ( Dis- 
cover) 的 ) 


RFC 3011155] 


119 


域 搜索 


列 出 一 个 或 多 个 域 ,用 于 客户 端 解析 
器 的 配置 。 如 果 应 用 请 求 一 个 非 FQDN 
主机 名 的 解析 , 则 在 查询 之 前 ,这 些 域 
将 顺序 地 添加 到 主机 名 之 后 。 


RFC 3361157] 


120 


SIP 服务 器 


一 个 或 多 个 会 话 初始 协议 (SIP) 服务 
fit FQDN( 可 能 是 多 个 ) 或 SIP 服务 器 
IP 地 址 (可 能 是 多 个 地 址 ) 的 一 个 列 
表 。SIP 是 多 媒体 呼叫 或 会 话 管理 的 一 
控制 协议 


> 


RFC 3361157] 


121 


RETE MA eA Yi M VA TE EL A H Be FE 
中 安装 的 一 组 静态 路 由 ;按照 “ 《CIDR 
HEIKE). (目的 地 网 络 》 下 一 跳 
路 由 器 ”对 的 形式 列 出 。 目 的 地 网 络 部 
分 仅 列 出 有 意义 的 字 节 ,丢弃 本 地 ( 非 
子 网 ) 部 分 ; 例如 172. 16.0.0/12 将 被 
编码 为 12. 172.16, 10. 0. 0.0/18 被 编 
码 为 18. 10.0.0 


RFC 3442158] 


122 


CableLabs 客户 端 配置 


规范 确定 资源 (例如 准备 服务 器 、 
DHCP 服务 器 等 ) 位 置 以 及 有 线 多 媒体 
终端 适配器 ( MTA ) 使 用 的 参数 , MTA 
是 运行 在 一 个 DOCSIS 有 线 网 络 上 的 客 
户 端 设备 ,提供 VoIP 和 有 关 的 多 媒体 
RE 


RFC 34951591 


123 


位 置 配置 信息 (LCD) 


为 客户 端 提 供 它 的 LCL, 包 括 纬度 .经 
度 .高度 以 及 每 个 坐标 的 分 辨 率 


RFC 3825160 


124 


识别 厂商 的 厂商 类 


使 之 能 够 规范 多 个 厂商 类 ,每 个 类 都 
是 以 IANA- 指 派 的 企业 号 (EN) ;在 支 
持 该 设备 方面 ,这 对 于 识别 硬件 厂商 、 
软件 厂商 .应 用 厂商 等 方面 是 有 用 的 


RFC 3925!°! 


125 


识别 厂商 的 厂商 特定 信息 


依据 IANA- 指 派 的 EN 识别 得 到 厂 


RFC 3925!6! 


126, 
127 


未 指派 


RFC 3679!“ 


第 4 章 DHCP 


Len 
qi PK HA “ 参 Na 献 
代码 BB (KIE) a 考 文献 
PXE- 未 定义 (厂商 特定 的 ) RFC 4578/49! 
128 Etherboot( 以 太 网 启动 签名 ) 。6 字 节 :IE4:45:74:68 00:00 
过 载 的 
DOCSIS“ 全 安全 性 "服务 器 IP 地 址 
( Overloaded ) 
TFTP 服务 器 地 址 (用 于 P 电话 软件 负载 ) 
i25 PXE- 未 定义 (厂商 特定 的 ) RFC 4578/49! 
过 载 的 核心 选项 。 变 长 字符 串 
( Overloaded ) 呼叫 服务 器 IP 地 址 
ia PXE- 未 定义 (厂商 特定 的 ) REC 4578!49! 
过 载 的 以 太 网 接口 。 变 长 字符 串 
iii 区 分 字符 串 ( 用 来 识别 厂商 ) 
131 PXE- 未 定义 (厂商 特定 的 ) RFC 4578!49! 
过 载 的 
( Overloaded ) 远 端 统计 服务 器 IP 地 址 
132 PXE- 未 定义 (厂商 特定 的 ) RFC 4578!49! 
过 载 的 
( Overloaded ) 802. 1Q VLAN ID 
133 PXE- 未 定义 (厂商 特定 的 ) RFC 4578!49! 
过 载 的 
( Overloaded ) 802. 1D/p 12 优先 级 
134 PXE- 未 定义 (厂商 特定 的 ) RFC 45781491 
过 载 的 
( Overloaded ) Diffserv 码 点 
135 PXE- 未 定义 (厂商 特定 的 ) RFC 4578!49! 
过 载 的 
( Overloaded ) 电话 特定 应 用 的 HTTP 代理 
识别 PANA (为 网 络 接 人 携带 认证 信 
息 的 协议 ) 认证 代理 的 一 个 或 多 个 ITPv4 
136 PANA 代理 N ; RFC 5192! °! 
Re bk, Ett ee Be AMS, hh Be Pe | RPE 919 
于 认证 和 授权 
位 置 到 服务 转换 (LoST) 服务 器 域 
137 LoST 服务 器 N | 名 ;LoST 协议 将 服务 标识 符 和 位 置信 | RFC 522316] 
息 映 射 到 服务 URL 
无 线 接 和 人 点 的 控制 和 准备 (CAP- 
138 CAPWAP 接 入 控制 器 N | WAP) 接 入 控制 器 人 * 地 址 (可 能 是 多 个 | REC 541716 
地 址 ) ,客户 端 可 连接 到 这 些 地 址 
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( 续 ) 
代码 名 称 an a x 参考 文献 
(长 度 ) 加 
提供 特定 类 型 下 EE802. 21 MoS 服务 
13 动 性 MoS) IP 地 N [65] 
9 移动 性 服务 (MoS IP 地 址 器 的 [Pd 地 址 RFC 5678 
提供 特定 类 型 [EEE802. 21 MoS 服务 < 
140 MoS FQDN N [65] 
oS FQ 器 的 FODN RFC 5678 
draft-lawrence 
sipforum- 
141 SIP 用 户 代理 配置 N 会 话 初始 协议 (SIP) 用 户 代 理 配 置 useragent- 
config-03. 
txt [179] 
142 ~ 149 未 指派 RFC 3942! ©! 
150 TFTP 服务 器 地 址 Etherboot( 以 太 网 启动 )GRUB 配置 路 径 名 RFC 58591175] 
151 ~ 174 未 指派 RFC 3942! ©! 
175 以 太 网 启动 (临时 指派 的 一 一 2005 年 6 H 23 日 ) 
176 IP 电话 (临时 指派 的 一 一 2005 年 6 月 23 A) 
177 以 太 网 启动 (临时 指派 的 一 一 2005 年 6 H 23 A) 
178 ~207 未 指派 的 RFC 3942166 
208 PXE 魔 数 ( 弃 用 ) 4 F1 :00:74:7E RFC 5071!” 
第 二 阶段 PXE 启动 载 人 的 配置 文件 
209 PXE 配置 文件 N per RFC 507167 


名 或 文件 路 径 名 


PXE 配置 文件 选项 中 指定 文件 名 的 
210 PXE 路 径 前 绥 N ; pias RFC 5071!” 
fees 配置 文件 路 径 前 绥 


0 果 TFTP KR 可 达 , 需 要 等 和 
211 PXE 重启 时 间 4 ee | 
E Ja HY 


| 由 


6rd 顾客 边缘 设备 配置 (6rd 是 一 项 月 
212 6rd 配置 上 Res it #5 Bi : (6rd ‘a set ae zogot 
务 提供 商 IPv4- IPw6 技术 一 一 见 第 15 章 ) 


draft- ietfgeopriv- 


这 个 接 入 网 络 的 位 置信 息 服 务 器 


213 LIS 域名 (LIS) RA, rae) 
214 ~219 未 指派 

220 子 网 分 配 选 项 (临时 指派 的 一 一 2005 年 6 月 23 H) 

221 虚拟 子 网 选择 选项 (临时 指派 的 一 一 2005 年 6 月 23 日) 
222 ~223 未 指派 的 RFC 394216 
224 ~254 保留 的 (私有 用 途 ) 

255 结尾 0 没有 RFC 2132133 


OD N/4 表示 法 指使 用 “N” 个 字 节 表示 一 个 或 多 个 IPv4 地 址 ， 每 个 地 址 由 4 个 字 节 组 成 ; 因此 对 于 长 
度 N， 该 字段 将 包含 W4 个 完全 的 IPv4 地 址 。 当 然 这 意味 着 在 数据 类 型 为 IP 地 址 时 ,N 是 4 的 
倍数 。 

@ TEN -16 = 因特网 试验 说 明 16; 随 着 TCP/IP 在 APRANET 上 投入 日 常 使 用 ，IEN 最 终 与 RFC 合并 了 。 
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4.5 动态 地 址 指派 的 其 他 方式 


虽然 DHCP 为 网 络 管理 员 提 供 了 在 许多 子 网 上 预 分 配 动态 地 址 池 的 一 种 方式 ， 并 
提供 一 种 机 制 区 分 不 同 设 备 类 型 ， 以 便 执行 一 个 PP 地 址 和 配置 参数 的 区 分 性 指派 ， 
但 还 存在 动态 地 址 指派 的 其 他 方法 (虽然 不 太 常 用 ) 。 除 了 地 址 自动 配置 外 ， 一 种 常 
见 的 蔡 代 方法 是 使 用 一 台 Radius 服务 器 来 指派 一 个 IP 地 址 。Radius 或 后 续 协 议 Diam- 
eter， 为 尝试 接 入 一 个 网 络 的 各 IP 主机 提供 一 项 认证 、 授 权 和 计 费 (AAA) 服务 。 当 
客户 端 尝试 接 入 一 台 网 络 边缘 设备 或 拨 叶 池 时 ， 从 一 个 客户 端 到 一 台 Radius 服务 器 
的 连接 普遍 通过 一 条 点 到 点 (PPP) 或 扩展 的 认证 协议 (EAP) (比如 ) 连接 实现 的 。 
Radius 服务 器 请 (challenge) 客户 端 输入 一 个 用 户 名 和 口令 ， 依 据 其 内 部 或 外 部 数据 
库 对 输入 的 信息 进行 认证 ， 最 后 通过 向 客户 端 提 供 一 个 P 地址 而 提供 到 网 络 的 接 入 。 
虽然 极 大 地 简化 了 Radius 协议 ， 但 这 里 的 有 关 概 念 是 某 些 Radius AR a EE E 
边缘 路 由 器 设备 ， 可 被 配置 带 有 地 址 池 ， 从 中 可 向 被 授权 的 客户 端 实施 各 IP 地 址 的 
KUK 。 在 一 些 情形 中 ，Radius 服务 器 可 被 配置 成 实际 上 利用 DHCP 协议 ， 从 一 台 DH- 
CP 服务 器 得 到 一 个 卫 地 址 。 在 这 种 情形 中 ，Radius 服务 器 作为 一 个 DHCP 代理 客户 
端 ， 代 表 请 求 客 户 端 得 到 一 个 IP 地 址 ， 并 将 该 地 址 指派 给 该 请 求 客 户 端 。 我 们 将 在 
第 7 章 讨论 一 些 蔡 代 的 DHCP 服务 需 部 署 策略 ， 我 们 将 部 署 在 边缘 设备 上 的 DHCP 与 
部 署 在 分 散 DHCP 服务 器 上 的 DHCP 进行 比较 。 
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( DHCPv6 ) 


对 于 动态 得 到 IPv6 地 址 的 那些 设备 而 言 ， 有 两 种 主要 策略 可 用 于 自动 化 这 个 地 


址 指派 过 程 : 基于 客户 端的 过 程 或 基于 网 络 服务 絮 的 过 程 。 


动 分 配 的 形式 介绍 了 基于 客户 端的 地 址 指派 概念 ， 在 该 过 程 中 ， 一 个 客户 端 依据 路 由 


在 第 2 章 ， 我 们 以 地 址 自 


器 通告 确定 它 的 位 置 ， 并 自动 地 计算 它 的 接口 标识 符 ， 以 此 推演 得 到 一 个 卫 地 址 。 


但 是 ， 如 果 在 重复 地 址 检测 的 前 提 过 程 中 ， 主 机 确定 它 的 
那么 它 必 须 重 新 推演 得 到 另 一 个 地 址 或 等 待人 工 干预 。 


自动 配置 的 地 址 已 被 使 用 ， 


基于 网 络 服务 器 ee a i 
务 器 处 请 求 一 个 卫 地 址 (还 有 其 他 参数 ) 过 程 中 ， 宣 告 它 的 存在 。 用 于 IPv6 地 址 的 


ia 


DHCPv6 并 不 与 用 于 IPv4 


的 DHCP ERE = 这 意味 着 DHCPv6 仅 支持 IPv6 地 址 和 配置 ， 而 不 附加 地 支持 
IPv4 地 址 和 参数 。 这 留待 未 来 的 开发 进行 定义 ， 如 果 未 来 需求 紧迫 的 话 。 


5.1 DHCP 比较 : DHCPv4 #1 DHCPv6° 


与 DHCPv4 相 比 较 而 言 ， DHCPv6 使 用 不 同 的 消息 类 型 
面 是 类 似 的 。 表 5-1 突出 显示 了 这 些 相 似 点 和 差异 。 


I 和 报 文 格式 ,但 在 许多 方 


表 5-1 DHCPv4 #0 DHCPv6 的 比较 


特征 DHCPv4 DHCPv6 

初始 客户 端 消 息 的 目的 地 TP 组 播 到 链 路 范围 地 址 :所 有 DH- 
地 址 233 CP 代理 地 址 (FF02::1:2) 

如 为 “支持 ”, 则 在 每 个 中 继 代理 


如 为 “支持 ”, 则 在 每 个 中 继 | 中 配置 DHCP 服务 器 地 址 ,或 使 用 

中 配置 DHCP 服务 器 地 址 All_DHCP_Servers 站 点 范围 的 组 播 
地 址 (FF05::1:3) 

相同 的 消息 类 型 码 ,但 插入 在 发 送 到 DHCP 服务 器 的 RE- 

中 继 代理 转发 giaddr, 并 将 之 单 播 到 DHCP 服 | LAY-FORW 和 来 自 服务 器 的 RE- 
务 器 (可 能 是 多 台 ) LAY- REPL 中 封装 客户 端 消 息 
TE BEAT 多 消息 

发 送 到 定位 服务 器 的 消息 , 目 en Som 


的 是 得 到 IP 地 址 和 配置 


与 客户 端 有 关 的 服务 器 消息 DHCPOFFER ADVERTISE 
接受 参数 的 客户 端 消息 DHCPREQUEST REQUEST 
租赁 绑 定 的 服务 器 确认 DHCPACK REPLY 


加 ”本 章 的 开始 几 节 依据 参考 文献 [11] 的 第 3 章 。 
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( 续 ) 
特征 DHCPv4 DHCPv6 
为 延长 租赁 期 而 发 送 到 租赁 
PAN DHCPREQUEST( #4147 RENEW ( %4 
DHCP 服务 器 的 客户 端 消息 Quest H (H) 
为 延长 租赁 期 而 发 送 到 任意 
租赁 DHCP 服务 器 的 客户 端 DHCPREQUEST( 广播 ) REBIND( 组 播 ) 
消息 
放弃 一 个 地 址 租赁 能 端 
a aes di DHCPRELEASE RELEASE 
6 HH — AN HA ATE h z 
as A DAN Pa DHCPDECLINE DECLINE 
使 用 的 客户 端 消 息 
BA itt FEL By — 4% = 
下 < 客户 六 得 到 一 个 新 配置 DHCPFORCERENEW RECONFIGURE 
的 服务 器 消息 
又 请 求 卫 配置 (不 是 地 址 ) DHCPINFORM INFORMATION-REQUEST 


5.2 DHCPv6 地 址 指派 


当 一 台 设 备 在 一 个 IPv6 子 网 上 初始 化 时 ， 它 将 倾听 或 请 求 一 条 路 由 器 通告 ， 从 
而 确定 是 否 有 DHCPv6 服务 可 用 于 该 子 网 。 回 顾 一 下 在 第 2 章 我 们 关于 邻居 发 现 的 讨 
论 ， 其 中 在 路 由 器 通告 内 部 的 M 比特 通知 子 网 上 的 设备 ， 告 知 它们 ，DHCPv6 服务 可 
用 于 地 址 和 参数 指派 ; 0 比特 指明 DHCPv6 服务 可 用 于 参数 设置 ， 而 不 可 用 于 地 址 指 
派 。DHCPv6 过 程 是 以 一 个 客户 端 发 出 一 条 SOLICIT 消息 开始 的 ， 本 质 上 从 DHCP 服 
务 器 (可 能 是 多 个 服务 器 ) 处 请 求 一 个 “bid” (出 价 ， 即 提供 一 个 地 址 ) ， 这 些 服务 
器 可 在 该 客户 端 所 连接 的 特定 子 网 上 提供 一 个 卫 地 址 。 在 IPv4 中 客户 端 要 广播 这 
条 起 始 报 文 ， 但 在 IPv6 中 却 不 是 这 样 的 ， 而 是 客户 端 向 All_Relay_Agents _ and _ 
Servers (所 有 中 继 代 理 和 服务 器 ) 组 播 地 址 FF02:: 1; 2 发 送 SOLICIT 消息 。 注 意 
在 这 个 组 播 地 址 上 的 范围 字段 (以 黑体 突出 显示 的 FF02:: 1: 2) 适用 于 链 路 本 地 
范围 。 

在 这 个 子 网 上 的 DHCPv6 服务 器 将 直接 接收 到 SOLICIT 报 文 ， 并 以 一 条 ADVER- 
TISE 报 文 做 出 响应 ， 指 明 一 个 优先 级 数值 。 使 用 优先 级 数值 的 目的 是 使 客户 端 选择 
通告 最 高 优先 级 ( 由 管理 员 配 置 ) 的 服务 器 。 该 服务 器 也 将 指明 在 子 网 上 它 是 和 否 有 
可 用 的 地 址 。 如 果 SOLICIT 是 直接 使 用 由 SOLICIT 报 文 得 到 的 客户 端 源 IP 地址 ( 极 
可 能 是 客户 端的 链 路 本 地 地 址 ) 接收 到 的 ， 那 么 ADVERTISE 报 文 将 会 单 播 到 客 
户 端 。 

客户 端 分 析 接 收 到 的 各 条 通告 ， 并 选择 一 台 服 务 器 (典型 情况 下 具有 最 高 的 优 
先 级 ) ， 请 求 一 个 IP 地址， 并 向 该 服务 器 发 出 一 条 REQUEST 消息 。 之 后 服务 器 将 记 
录 地 址 指派 ， 并 以 一 条 REPLY 消息 对 客户 端 做 出 应 答 ， 如 图 5-1 所 示 。 
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在 链 路 上 被 配置 为 中 继 代理 的 任何 路 由 器 ， 如 果 从 一 台 DHCPv6 客户 端 接 收 到 
SOLICIT 报 文 ， 那 么 它 将 该 报 文中 继 到 一 个 或 多 个 DHCPv6 服务 器 。IPv6 中 继 代理 不 
会 像 在 IPv4 情形 中 那样 要 求 配置 DHCP 中 继 代 理 地 址 ， 但 它们 可 以 支持 这 样 的 配置 。 
在 IPv4 中 是 简单 地 将 报 文 转发 到 一 台 或 多 台 DHCP 服务 器 ， 在 IPv6 中 不 是 这 样 的 ， 
IPv6 中 继 代理 将 原始 的 SOLICIT 报 文 封装 在 一 条 RELAY-FORW 报 文 内 部 。 之 后 这 条 
报 文 被 发 送 到 配置 好 的 DHCP 服务 器 ， 或 通过 组 播发 送 到 范围 受 限 的 所 有 DHCP 服务 
器 组 播 地 址 (FF05:: 1; 3), XMF IPv4 DHCP GIAddr 参数 ，RELAY- FORW 报 文 的 
链 路 地 址 字段 指明 了 这 样 的 链 路 ， 客 户 端 当前 在 这 条 链 路 上 ， 且 该 客户 端正 在 请 求 一 
AIP 地址。 这 个 过 程 如 图 5-2 所 示 。 这 个 信息 由 DHCPv6 服务 器 使 用 ， 用 于 为 这 条 链 
路 指派 一 个 合适 的 IP 地 址 。DHCPv6 服务 器 将 其 ADVERTISE 消息 封装 在 一 条 RE- 
LAY-REPL 报 文中 ， 并 将 之 单 播 到 相应 的 中 继 代理 。 


SOLICIT 
YQ p ADVERTISE 
REQUEST 


DHCPv6 客户 端 DHCPv6 服务 器 


REPLY 


图 5-1 DHCPv6 地 址 指派 


— 


接口 让 地 址 
=2001: DB8:3::1 


DHCP 服务 器 
2001: DB8 :10::F7 


SOLICIT RELAY-FORW 


组 播 到 FF02:1:2 组 播 到 FF05 ::1:3 
链 路 地 址 =2001: DB8:3::1 


图 5-2 DHCPv6 P4k!" 


当 客 户 端 接收 到 一 条 确认 地 址 指派 的 应 答 报 文 时 ， 该 客户 端 必须 执行 重复 地 址 检 
测 ， 以 便 确 保 没有 其 他 设备 已 在 使 用 该 IP 地 址 (采用 自动 配置 或 人 工 配 置 的 方法 配 
置 的 ) 。 如 果 另 一 台 设 备 正在 使 用 被 指派 的 PP 地址 ， 那 么 客户 端 将 向 DHCP 服务 器 发 
送 一 条 拒绝 (Decline) 消息 ， 指 明 该 地 址 已 被 使 用 。 之 后 该 客户 端 重新 启动 DHCP 
过 程 ， 以 便 得 到 一 个 不 同 的 耳 地 址 。 

除了 上 面 概述 的 四 报 文 交换 外 ，DHCPv6 的 特征 功能 还 有 一 个 快速 提交 选项 。 这 
使 消息 需求 减 半 ， 使 服务 器 能 够 简单 地 对 一 条 SOLICIT 报 文 做 出 REPLY (应 答 )。 客 
户 端 将 在 其 SOLICIT 消息 中 包括 快速 提交 选项 。 可 对 一 个 地 址 指派 做 出 响应 的 服务 器 
(可 能 是 多 台 服 务 器 ) 将 直接 发 出 一 条 REPLY 报 文 ， 同 样 包括 快 速 提交 选项 。 注 意 ， 
做 出 响应 的 每 台 服 务 器 将 假定 它 所 指派 的 地 址 将 被 租赁 ， 所 以 快速 提交 应 该 带 有 短 的 
租赁 时 间 ， 或 由 有 限 数量 的 服务 需 支 持 ， 条 件 是 正常 情况 下 ， 有 许多 台 服 务 器 服务 该 
子 网 。 


局 域 网 
001:DB8:3::/48 
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和 第 2 章 中 描述 的 IPv6 自动 配置 一 样 ， 通 过 DHCP 指派 的 每 个 非 临时 ?IPv6 地 址 
都 有 一 个 首选 寿命 和 一 个 有 效 的 寿命 。 在 首选 寿命 超期 之 后 ， 该 地 址 被 认为 是 有 效 
的 ， 但 应 该 弃 用 。 在 弃 用 情况 下 ， 不 应 该 有 新 的 P 通信 会 话 利 用 该 地 址 。 


5.3 DHCPv6 前 级 委派 


DHCPv6 不 仅 用 于 向 主机 指派 个 体 (individual) IP 地 址 和 /或 关联 的 IP 配置 信 
息 ， 而 且 可 用 于 将 整个 网 络 委派 给 请 求 (地 址 ) 的 路 由 设备 。 通 过 DHCPv6 的 这 种 形 
式 委 派 被 称 作 前 缀 委派 。 前 级 委派 的 这 种 原始 动机 来 自 于 宽带 服务 提供 商 ， 他 们 寻求 
以 一 种 层次 化 的 方式 向 宽带 用 户 委派 IPv6 子 网 (例如 /48 到 /64 网 络 ) 的 过 程 自动 
化 。 在 服务 提供 商 网 络 边缘 的 一 台 请 求 (地 址 ) 的 路 由 器 设备 (面向 用 户 ， 即 服务 
用 户 ) ， 将 通过 DACPv6 协议 向 一 台 委 派 路 由 器 发 出 地 址 空间 的 请 求 。 注 意 该 术语 的 
含义 : 其 意图 是 作为 一 个 路 由 器 间 的 协议 ， 即 使 一 台 DHCPv6 路 由 器 可 执行 委派 路 由 
器 的 功能 〈 但 它 不 是 路 由 器 ) o 

前 缀 委派 过 程 利 用 前 面 描述 过 的 图 5-1 所 示 地 址 指派 相同 的 基本 DHCPv6 消息 
流 : RR (Solicit), WE, RMM. EHM DHCPv6 消息 内 部 的 其 他 信息 被 用 于 
确定 委派 的 一 个 合适 网 络 。 和 IP 地 址 一 样 ， 前 级 也 有 首选 寿命 和 有 效 寿 命 。 发 出 请 
求 的 路 由 器 可 通过 DHCPv6 刷新 和 重 绑 定 消息 ， 来 请 求 得 到 一 次 寿命 延长 。 


5.4 DHCPv6 对 地 址 自动 配置 的 支持 


当 我 们 在 第 2 章 讨论 IPv6 自动 配置 时 ， 我 们 定义 了 三 种 类 型 的 自动 配置 : 

1) 无 状态 的 。 这 个 过 程 是 “无 状态 的 ”， 原 因 是 它 不 依赖 于 外 部 指派 机 制 〈 例 
如 DHCPv6) 的 状态 或 是 否 可 用 。 

2) 有 状态 的 。 有 状态 过 程 单纯 依赖 于 外 部 地 址 指派 机 制 ， 例 如 DHCPv6 。 

3) 无 状态 和 有 状态 的 组 合 。 这 个 过 程 将 一 种 形式 的 无 状态 地 址 自动 分 配 与 额外 
IP 参数 的 有 状态 配置 相 结合 一 起 使 用 。 
自动 配置 的 这 第 三 种 组 合 形式 利用 DHCPvw6 ， 不 是 为 了 得 到 IPv6 地 址 指派 ， 而 是 
为 了 得 到 额外 参数 的 指派 ， 被 编码 为 DHCPv6 选项 。 客 户 端 可 通过 信息 请 求 消息 来 请 
求 配置 参数 ， 指 明 它 正在 寻求 得 到 哪些 选项 参数 值 。 能 够 提供 所 期 望 配置 参数 的 一 台 
服务 器 (MA AIRS AE) 将 以 一 条 应 答 消 息 做 出 响应 ， 带 有 相应 的 选项 参数 。 


5.4.1 DHCPv6 消息 类 型 
针对 DHCPv6 定义 了 如 下 消息 类 
1) SOLICIT ( 索 求 ) 消息 类 型 = 1 由 一 个 客户 端 发 出 ， 为 的 是 定位 DH- 
CPv6 服务 器 。 


= he 


加 ”一 个 临时 地 址 是 一 个 短 时 〈 指 使 用 时 间 ) 不 可 刷新 的 地 址 。 
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2) ADVERTISE (通告 ) 一 一 消息 类 型 = 2 一 一 作为 对 一 条 索 求 消息 的 响应 ， 由 一 
台 服 务 器 发 出 ， 指 明 DHCP 服务 用 服务 器 的 存在 。 

3) REQUEST (请 求 ) 消息 类 型 =3 由 客户 端 发 出 ， 从 一 台 特 定 的 DH- 
CPv6 服务 器 请 求 IP 地 址 和 配置 参数 。 

4) CONFIRM 一 一 消息 类 型 =4 由 一 台 客 户 端 向 任何 可 用 的 服务 右 发 出 ， 
用 来 验证 指派 给 它 的 地 址 (可 能 是 多 个 地 址 ) 对 于 它 当 前 的 子 网 位 置 仍然 是 合 
适 的 。 

5) RENEW 一 一 消息 类 型 = 5 由 一 个 客户 端 向 它 所 接受 IP 地 址 的 服务 器 发 
出 ， 用 来 扩展 或 刷新 它 的 IP 地址 寿命 ， 并 更 新 其 他 参数 。 

6) REBIND 一 一 消息 类 型 =6 由 一 个 客户 端 向 所 有 可 用 的 服务 器 发 出 ， 用 来 
扩展 它 的 全 地址 寿命 ， 并 更 新 其 他 参数 。 是 在 没有 接收 到 一 条 以 前 RENEW 消息 的 
应 答 之 后 ， 才 发 送 这 条 消息 的 。 

7) REPLY 一 一 消息 类 型 = 7 一 一 作为 对 索 求 、 请 求 、 刷 新 或 重新 绑 定 消息 的 响 
应 ， 由 一 台 服 务 器 发 出 的 ， 用 来 向 一 个 客户 端 提供 IP 地 址 和 /或 配置 参数 。 服 务 器 也 
向 期 望 通过 确认 消息 来 确认 其 配置 的 客户 端 ， 发 出 这 个 消息 类 型 ， 并 用 来 确认 从 客户 
端 接收 到 释放 和 拒绝 消息 。 

8) RELEASE 一 一 消息 类 型 =8 由 一 个 客户 端 向 它 接收 到 卫 地 址 的 服务 器 发 
出 的 ， 用 来 放弃 IP 地 址 。 之 后 客户 端 必须 释放 使 用 该 IP 地 址 。 

9) DECLINE 消息 类 型 =9 由 一 个 客户 端 发 出 的 ， 用 来 通知 一 人 台 服 务 器 ， 
告知 由 该 服务 器 指派 的 一 个 或 多 个 地 址 在 客户 端 所 在 的 链 路 上 已 经 在 用 。 

10) RECONFIGURE 消息 类 型 =10 一 一 由 一 台 服 务 器 发 出 的 ， 用 来 指令 一 个 
客户 端 重新 初始 化 ， 原 因 是 该 服务 器 有 新 的 或 更 新 的 配置 参数 可 用 于 该 客户 端 。 之 后 
该 客户 端 必须 按照 服务 器 的 指令 ， 发 出 一 条 刷新 或 信息 请 求 消息 ， 来 得 到 更 新 的 或 新 
的 信息 。 

11) INFORMATION-REQUEST 一 一 消息 类 型 = 11 一 一 由 客户 端 发 出 的 ， 用 来 从 一 
台 服 务 器 得 到 IP 地 址 之 外 的 配置 参数 。 

12) REPLAY-FORW 一 一 消息 类 型 = 12 一 一 由 一 台中 继 代理 直接 或 通过 其 他 代 
理 ， 向 一 台 服 务 器 或 一 组 服务 器 发 出 的 ， 用 来 封装 一 条 客户 端 发 起 的 或 中 继 代理 发 起 
的 消息 。 

13) RELAY-REPL 一 一 消息 类 型 = 13 一 一 作为 对 RELAY-FORW 的 应 答 ， 由 一 台 
服务 器 向 一 台中 继 代 理发 出 的 ， 封 装 发 往 一 个 客户 端的 一 条 消息 ， 它 被 编码 为 RE- 
LAY-REPL 消息 内 部 的 一 个 选项 。 该 中 继 代 理 必须 直接 或 通过 其 他 中 继 代 理 将 该 消息 
发 送 到 该 客户 端 。 

14) LEASEQUERY 一 一 消息 类 型 = 14 一 一 由 诸如 访问 集中 器 或 中 继 代 理 的 一 台 
设备 发 出 ， 用 于 从 DHCP 服务 器 请 求 租 赁 绑 定 信息 ， 如 一 个 特定 客户 端的 IPv6 地 址 、 
DUID、 中 继 代 理 、 链 路 地 址 或 远程 标识 符 。IPv6 客户 端 DUID 查询 用 于 个 体 设 备 租赁 
查询 ， 而 其 他 查询 类 型 则 方便 了 多 个 客户 端 租赁 状态 的 成 块 租赁 查询 。 在 IETF 内 部 
正在 开发 针对 IPv4 的 成 块 租赁 查询 。 
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15) LEASEQUERY- REPLY 一 一 消息 类 型 =15 作为 对 一 条 LEASEQUERY 消息 
的 响应 ， 由 一 台 服 务 器 向 查询 的 设备 发 出 的 ， 带 有 与 查询 有 关 的 租赁 绑 定 信息 。 

16) LEASEQUERY-DONE 一 一 消息 类 型 = 16 一 一 由 一 台 服 务 器 向 查询 的 设备 发 
出 的 ， 指 明 一 个 成 块 租赁 查询 的 结束 。 

17) LEASEQUERY- DATA 一 一 消息 类 型 =17 一 一 由 一 台 服 务 器 向 查询 的 设备 发 出 
的 ， 当 一 个 以 上 客户 端的 数据 要 以 这 样 的 结果 提供 时 ， 用 于 封装 单一 的 DHCPv6 客户 
端的 租赁 信息 。 


0 bit 7 8 31 
消息 类 型 


8 bit 
选项 变 长 


图 5-3 DHCPv6 报 文 格式 [69] 


5.4.2 DHCPv6 报 文 格式 


DHCPv6 报 文 格式 是 非常 简单 的 ( 见 图 5-3)。 它 由 一 个 8bit 消息 类 型 、24bit SF 
务 ID 和 一 个 可 变 长 度 的 选项 字段 组 成 。 这 就 是 报 文 格式 ， 就 这 些 内 容 。 与 客户 端 身 
份 和 配置 有 关 的 信息 被 放置 在 选项 字段 内 部 。 

但 是 ， 当 一 个 中 继 代理 处 于 客户 端 和 服务 器 之 间 的 路 径 上 时 ， 该 中 继 代理 修改 消 
息 ， 产 生 用 于 转发 和 中 继 消息 的 一 个 通用 格式 ， 如 图 5-4 所 示 。 

1) 8bit 消息 类 型 。 

2) 已 经 中 继 这 条 消息 的 8bit 跳 计 数 或 数量 ， 沿 路 径 由 每 个 中 继 做 加 1 处 理 。 

3) 128bit 链 路 地 址 一 一 服务 器 使 用 的 IPv6 地 址 ， 用 来 识别 客户 端 所 处 的 链 路 
(类 似 于 giaddr 概念 ) 。 

4) 128bit 对 端 地 址 一 一 客户 端 或 中 继 代 理 (要 被 中 继 的 消息 是 从 该 处 接收 到 
的 ) 的 IPv6 地 址 。 

5) 可 变 的 长 度 选 项 字段 ， 包 括 中 继 消息 选项 ， 该 选项 包括 要 在 客户 端 和 服务 需 
之 间 中 继 的 DHCPv6 消息 

0 bit 7, 8 1516 — — — 3 
za 链 路 地 址 


链 路 地 址 


链 路 地 址 


对 端 地 址 
128 bit 


图 5-4 DHCP 中 继 报 文 格式 [681 
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5.5 设备 唯一 标识 符 


像 DHCPv4 一 样 ， 一 台 DHCPv6 服务 器 必须 跟踪 其 所 配置 地 址 池内 部 IP 地 址 的 可 
用 性 和 指派 情况 ， 并 识别 IP 地址 的 请 求 者 和 持 有 者 。DHCPv6 利用 设备 唯一 标识 符 
(DUID) 来 识别 客户 端 。DUID 不 仅 用 于 服务 器 识别 客户 端 ， 而且 用 于 客户 端 来 识别 
服务 器 。DUID 类 似 于 客户 端 -标识 符 概 念 ， 但 DUD 的 意图 为 对 于 设备 (而 不 是 一 个 
接口 ) 而 言 是 全 球 唯一 的 。DUID 不 应 该 随时 间 而 发 生 改 变 ， 即 使 设备 的 硬件 发 生变 
化 时 DUD 也 不 应 该 发 生变 化 。DUID 是 以 各 种 方式 自动 地 由 IPv6 节点 构造 的 。 它 们 
由 一 个 两 字 节 类 型 码 后 跟 依据 类 型 而 变 的 一 个 可 变数 量 的 字 节 组 成 的 。 后 跟 的 DUID- 
类 型 码 定 义 如 下 。 

1) 类 型 = 1 一 一 链 路 层 地 址 加 上 时 间 (DUID-LLT) 。 

2) 类 型 =2 一 一 依据 企业 号 (DUID-EN) 产生 的 厂商 指派 的 唯一 ID., 

3) 类 型 =3 一 一 基于 链 路 层 的 DUID (DUID-LL)。 

对 于 那些 基于 链 路 层 地 址 的 类 型 码 而 言 ， 它 们 被 用 于 所 有 的 设备 接口 ， 即 使 由 其 得 到 
链 路 层 地 址 的 硬件 被 拆除 也 是 如 此 。DUID 是 一 个 设备 标识 符 ， 而 不 是 一 个 接口 标识 符 。 


5.5.1 DUID-LLT 


DUID- 链 路 层 地 址 和 时 间 格 式 如 图 5-5 所 示 。DUID 类 型 是 “1”。 硬件 类 型 是 为 
接口 硬件 类 型 由 IANA- 指派 的 数值 (一 个 完整 列表 参见 http: //www. iana. org/assign- 
ments/ arp-parameters) 。 后 跟 时 间 字 段 ， 并 表示 DUID 创建 的 时 间 ， 以 自 2000 年 1 月 
1 日 (UTC 时间) 以 来 的 秒 数 对 2” 取 模 表示 。 那 么 所 选中 接口 的 硬件 地 址 由 链 路 层 
地 址 字段 组 成 。 

一 台 设 备 是 如 下 形成 这 个 DUD 的 : 选择 一 个 接口 ， 使 用 它 的 链 路 层 类 型 和 地 
址 。DUID 应 该 存储 在 该 设备 上 的 永久 存储 器 之 中 。 对 于 它 对 应 的 硬件 类 型 而 言 ， 链 
路 层 地 址 必须 是 全 球 唯一 的 。 之 后 在 与 DHCP 服务 器 通信 的 过 程 ， 这 同一 个 DUID 与 
设备 上 的 每 个 接口 关联 起 来 ， 即 使 DUID 推演 形成 所 依据 的 接口 被 拆除 ， 也 必须 如 
此 。 但 是 ， 如 果 该 接口 被 拆除 并 被 安装 到 另 一 台 设 备 ， 如 果 那 台 设 备 如 此 依据 相同 的 
接口 地 址 选择 形成 它 的 DUID 话 ， 那 么 这 个 DUID 格式 的 时 间 项 应 该 使 新 设备 使 用 相 
同 接 口 形成 不 同 DUID 的 概率 较 高 。 对 于 具有 存储 DUID 的 永久 存储 器 的 那些 设备 ， 
建议 使 用 DUID-LLT 格式 。 


0 1516 31 
DUID 类 型 =1 硬件 类 型 
16 bit 16 bit 
时 间 
32 bit 
链 路 地 址 
变化 的 比特 数 


图 5-5 链 路 层 地 址 加 上 时 间 格 式 化 形成 的 DUID'S] 
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5.5.2 DUID-EN 


基于 企业 号 码 的 DUID 格式 ， 是 由 厂商 指派 给 设备 的 〈 见 图 5-6)。DUID 组 成 包 
括 DUID 类 型 “2”、 企 业 号 码 等 ,企业 号 码 是 由 IANA 指派 给 设备 厂商 的 (参见 ht- 
tp: //www. iana. org/assignments/enterprise-numbers) ， 很 像 由 IEEE 将 以 太 网 接口 前 绥 
指派 给 厂商 的 过 程 。EN 之 后 跟着 的 是 由 厂商 指派 的 一 个 厂商 唯一 标识 符 。 这 个 DUID 
必须 被 存储 在 设备 的 永久 存储 器 之 中 。 


0 1516 31 
DUID 类 型 =2 | 企业 号 
16 bit | 16 bit 
企业 号 ( 续 ) | 标识 符 
16 bit | 16 bit 
标识 符 ( 续 ) 
变化 的 比特 数 


图 5-6 企业 号 格式 化 形成 的 DUID'SS] 


5.5.3 DUID-LL 


基于 链 路 层 地 址 的 DUID 非常 类 似 于 DUID-LLT， 但 略 掉 了 时 间 字 段 。DUID 类 型 
是 “3”( 见 图 5-7)。 硬件 类 型 是 为 接口 硬件 类 型 由 IANA- 指 派 的 值 (要 得 到 完整 列 
K, AJL http; //www. iana. org/assignments/arp-parameters) ， 后 跟 链 路 层 地 址 。 和 其 
他 形式 的 DUID 一 样 ， 一 个 常见 的 DUID 应 该 与 设备 上 的 每 个 接口 相关 联 。 对 于 没有 
永久 存储 能 力 来 存储 DUID 值 的 那些 设备 ， 建 议 采 取 这 种 形式 的 DUID。 


0 15 16 31 
DUID 类 型 -3 硬件 类 型 
16 bit 16 bit 
链 路 地 址 
变化 的 比特 数 


图 5-7 由 链 路 层 地 址 形成 的 DUID168] 


5.6 身份 关联 


因为 DUD 与 一 台 设 备 的 所 有 接口 和 指派 给 接口 的 IP 地 址 都 关联 起 来 了 ， 您 可 能 
会 奇怪 ， 对 于 一 个 给 定 的 DUID， 设备 和 服务 器 如 何 识别 特定 的 接口 呢 。 对 于 个 体 地 
址 指派 ， 身 份 关 联 (A) 的 概念 提供 了 一 台 DHCPv6 服务 器 和 一 个 客户 端 接 口 之 间 的 
这 种 联结 关系 。 对 于 临时 地 址 ( 短 时 租赁 的 、 非 刷新 的 地 址 ) (IA_TA) 、 非 临时 地 
址 和 前 级 委派 (IA_PD)，IA 依 它们 的 类 型 区 分 。 

临时 地 址 指派 缓解 了 与 依据 硬件 地 址 进行 自动 配置 地 址 ( 即 修改 的 EUI-64 接口 
ID)( 它 不 随时 间 而 发 生 改变 ) 相关 的 隐私 担忧 。 担 忧 是 这 样 的 ， 即 除非 低层 硬件 接 
口 发 生 改变 ， 在 一 个 IPv6 地 址 内 部 的 一 个 给 定 接口 ID 不 会 发 生 改 变 。 因 此 ， 即 使 一 
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个 设备 所 连接 的 网 络 天 天 发 生变 化 ， 但 接口 ID 却 不 变 。 跟 踪 一 台 设 备 的 位 置 的 能 
由 此 就 会 跟踪 到 它 的 用 户 ， 就 变 得 相对 容易 ， 因 此 就 出 现 了 对 隐私 的 担忧 。 对 通过 
DHCPv6 使 用 临时 地 址 得 到 短 寿 命 的 、 非 刷新 地 址 指派 ， 是 解决 这 种 担忧 的 一 种 方 
法 。 要 了 解 这 个 隐私 问题 的 更 多 背景 信息 ， 请 参见 RFC 3041。 

对 于 地 址 指派 ， 无 论 是 临时 的 或 非 临时 的 ， 每 个 客户 端 接口 都 有 一 个 IA， 由 一 
个 IA 标识 符 加 以 识别 (IAID)。 在 客户 端 -服务 器 的 DHCPv6 通信 中 ，IAID 被 表示 为 
四 个 字 节 ， 并 由 客户 端 选 择 。 在 与 客户 端 相 关联 的 所 有 AD P, IAD 必须 是 唯一 
的 ， 并 在 客户 端 重启 期 间 必须 是 永久 存储 的 ， 或 在 每 次 重启 时 可 一 致 性 地 推演 得 到 。 
客户 端 指定 它 的 DUID 和 IAID， 为 此 它 从 DHCPv6 服务 器 请 求 一 个 地 址 。DHCPv6 服 
务 器 向 TAID 指派 一 个 IPv6 地 址 ， 还 有 相应 的 TI1 (刷新 ) 和 T2 (重启 ) 定时 器 数值 。 


IA_PD 不 必 与 一 个 设备 接口 相关 联 。 回 顾 一 下 ， 发 出 请 求 的 路 由 器 是 使 用 DHCPv6 
来 得 到 一 个 IPv6 网 络 委派 的 。 发 出 请 求 的 路 由 器 必须 推演 得 到 一 个 或 多 个 IA_PD， 以 便 
在 DHCPv6 内 使 用 ，IA_PD 必须 在 重启 期 间 被 永久 存储 ， 或 可 一 致 性 地 推演 得 到 。 


5.7 DHCPv6 选项 


DHCPv6 选项 被 用 于 传递 与 所 关联 DHCP 消息 有 关 的 信息 ， 包 括 DUID MIA, 在 
DHCPv6 消息 内 部 列 出 各 选项 ， 并 具有 通用 的 格式 ， 如 图 5-8 所 示 。 
在 表 5-2 中 给 出 当前 定义 的 DHCPv6 选项 集 。 注 意 某 些 选 项 可 能 是 内 租 的 ， 例 如 
与 一 个 IA 相关 联 的 那些 选项 。 
0 15 16 31 


选项 码 
16 bit 


选项 特定 数据 
变化 的 比特 数 


图 5-8 DHCPv6 选项 格式 [@] 


表 5-2 DHCPv6 选项 集 


代码 名 字 含义 参考 文献 
1 OPTIONS_CLIENTID 客户 端 标识 符 ( 客户 端的 DUID) RFC 3315168 
2 OPTIONS_SERVERID 服务 器 标识 符 ( 服务 器 的 DUID) RFC 3315168 
非 临 时 地 址 的 身份 关联 一 一 包括 用 
3 OPTIONS_IA_NA 于 非 临 时 地 址 的 IAID, T1 时 间 、T2 时 | RFC 3315! 
间 和 IA 的 其 他 选项 
临时 地 址 的 身份 关联 一 一 包括 用 于 临 m 
| 时 地 址 的 LAID 和 这 个 IA 的 其 他 选项 。 | RPC 391° 
IA 地 址 选项 指定 IPv6 地 址 和 关联 
的 首选 寿命 有 效 寿 命 以 及 与 一 个 IA_NA 
5 OPTION_IAADDR 或 IA_TA 关联 的 选项 。 如 此 ,这 个 选项 仅 | RFC 33151681 


可 作为 DHCPv6 消息 选项 OPTION_IA_TA 
或 OPTION_IA_NA 的 一 个 选项 。 
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( 续 ) 
代码 名 字 含义 参考 文献 


选项 请 求 的 选项 一 一 由 客户 端 使 用 ， 
用 于 列 出 所 请 求 数值 的 各 选项 代码 ,或 
6 OPTION_ORO 由 服务 器 用 于 一 条 重 配 置 消息 ,用 于 指 RFC 3315168] 
明 客 户 端 在 其 后 续 的 刷新 或 信息 请 求 
消息 中 应 该 请 求 哪些 选项 。 


服务 器 进行 的 优先 级 设置 ,目的 是 
7 OPTION_PREFERENCE RFC 3315!° 
= 方便 客户 端 选取 DHCP 服务 器 


自 客户 端 开始 当前 DHCP 事务 以 来 


8 OPTION_ELAPSED_TIME 的 时 间 量 ,以 百 分 之 一 秒 为 单位 表示 。 RFC 3315168 
要 求 客户 端 使 用 这 个 选项 
9 OPTION_RELAY_MSG 由 一 台中 继 代理 中 继 的 DHCP 消息 RFC 3315168 
10 未 指派 = = 
认证 信息 ， 可 靠 地 识别 一 条 DH- 
11 OPTION_AUTH 认证 信息 ,用 于 可 靠 地 识别 一 条 RFC 3315!° 


CP 消息 的 源 ,并 验证 消息 完整 性 


民 务 器 单 播 选 项 ,指明 客户 端 可 使 用 
12 OPTION_UNICAST 该 耳 地 十 向 这 台 服务 器 单 播 消息 RFC 3315 


oo 


状态 代码 选项 ,指明 一 个 2 字 节 的 状 
态 码 和 可 变 长 度 的 消息 。 这 个 选项 可 
13 OPTION_STATUS_CODE A RFC 3315! °! 
用 作 一 个 DHCP 消息 选项 ,或 作为 另 一 


个 DHCP 消息 选项 内 部 的 一 个 选项 


快速 提交 选项 ,使 一 台 客 户 端 请 求 带 
14 OPTION_RAPID_COMMIT 有 一 个 卫 地址 和 参数 的 一 条 直接 应 RFC 3315168] 
答 , 旁 路 了 通告 和 请 求 消息 


用 户 类 选项 一 一 类 似 于 DHCPv4 中 
15 OPTION_USER_CLASS 的 用 户 类 ,用 于 协助 服务 器 做 出 地 址 指 RFC 3315! °! 


厂商 类 选项 一 一 类 似 于 DHCP v4 中 
的 厂商 类 ,用 于 传递 设备 或 接口 的 厂商 
16 OPTION_VENDOR_CLASS | 或 制造 商 信 息 , 协 助 服务 器 做 出 地 址 指 RFC 33151681 
派 决 策 。 厂 商 类 选项 包括 厂商 的 IANA 
指派 的 企业 号 码 


厂商 特定 的 信息 一 这 个 选项 包括 
IANA 指派 的 企业 号 码 以 及 一 个 或 多 个 
选项 ,每 个 选项 都 以 选项 码 、 长 度 和 值 
定义 


17 OPTION_VENDOR_OPTS RFC 3315! °8! 


交口 ID 选项 一 一 由 中 继 代 理 使 用 ,用 
于 传递 在 其 上 接收 到 客户 端 消 息 的 代理 
18 OPTION_INTERFACE_ID 的 接口 中。 这 个 选项 仅 出 现在 RELAY- RFC 3315168] 
FORW 消息 中 , 且 当 确实 出 现时 ,服务 器 
将 其 复制 到 RELAY-REPL 消息 上 
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代码 


合 义 


( 续 ) 
参考 文献 


OPTION_RECONF_MSG 


重新 配置 消息 选项 ,用 于 重新 配置 消 
息 中 ,用 来 通知 客户 端 重新 配置 要 使 用 
的 消息 类 型 ;消息 类 型 是 刷新 或 信息 - 


请 求 


RFC 3315! °! 


20 


OPTION_RECONF_ACCEPT 


重新 配置 接受 选项 一 一 如 果 客 户 端 
乐意 接受 来 自 服务 器 的 重新 配置 消息 ， 
则 客户 端 使 用 这 个 选项 


加 


RFC 33151° 


21 


OPTION_SIP_SERVER_D 


SIP 服务 器 域 名 选项 , 列 出 客户 端 可 
以 使 用 的 SIP 外 发 代理 服务 器 的 域名 


RFC 3319! 


22 


OPTION_SIP_SERVER_A 


SIP 服务 器 IPv6 地 址 选项 , 列 出 客户 
端 可 以 使 用 的 SIP 外 发 代理 服务 器 的 
IPv6 地 址 


© 


RFC 331916 


23: 


OPTION_DNS_SERVERS 


DNS 递归 名 字 服 务 器 选项 一 一 以 优 
先 级 顺序 列 出 DNS 递归 名 字 服 务 器 的 
IPv6 地 址 (可 能 有 多 个 地 址 ) ,客户 端 
解析 器 可 向 其 发 送 DNS 查询 


RFC 3646170] 


24 


OPTION_SIP_LIST 


域 搜索 列表 选项 一 一 当 通 过 DNS 解 
析 主 机 名 时 ,为 客户 端 用 途 提 供 一 个 域 
搜索 列表 


RFC 36461701 


25 


OPTION_IA_PD 


前 级 委派 的 身份 关联 一 一 包括 LAID 、 
T1 时 间 、T2 时 间 以 及 IA_PD 的 其 他 选 
项 (包括 像 选项 代码 26 所 定义 的 关联 
前 缀 (可 能 有 多 个 前 级 ) ) 


RFC 3633!7!! 


26 


OPTION_IAPREFIX 


TA_PD 前 缀 选项 一 一 指定 与 IA_PD 
关联 的 IPv6 前 缀 ,还 有 关联 的 选项 以 
及 首选 寿命 和 有 效 寿命 。 这 个 选项 仅 
可 作为 DHCPv6 消息 选项 OPTION_IA_ 
PD 的 一 个 选项 出 现 。 这 个 选项 被 指定 
带 有 一 个 8bit 前 级 长 度 和 一 个 
128bitIPv6 前 绥 


RFC 3633!7!! 


27 


OPTION_NIS_SERVERS 


丈 络 信息 服务 (NIS ) 服务 器 一 一 依据 
可 用 于 IPv6 地 址 而 排序 的 NIS 服务 器 
列表 


= 


RFC 3898/77! 


28 


OPTION_NISP_SERVERS 


网 络 信 息 服 务 v2 (NIS +) 服务 
器 一 一 依据 可 用 于 IPv6 地 址 而 排序 的 
NIS + 服务 器 列表 


RFC 3898172] 


29 


OPTION_NIS_DOMAIN_ 


NAME 


网 络 信息 服务 域名 
端 使 用 的 NIS 域名 


可 被 客户 


RFC 38987! 


30 


OPTION_NISP_DOMAIN 
NAME 


网 络 信息 服务 (NIS + ) 域名 一 一 
可 被 客户 端 使 用 的 NIS + 域名 


RFC 3898172] 
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3B 
WN 
+h 


(2) 
代码 名 字 会 义 参考 文献 


简单 网 络 时 间 协 议 (SNTP) 服务 
31 OPTION_SNTP_SERVERS 器 一 一 依据 可 用 于 IPv6 地 址 而 排序 的 REC 4075!73! 
SNTP 服务 器 列表 


信息 刷新 选项 一 一 指定 从 当前 时 间 

开始 秒 数 或 数值 上 界 , 指 一 个 客户 端 在 

OPTION _ INFORMATION 

32 Penis TNE 2 Z | DA DHCP v6 服务 器 接收 到 刷新 信息 之 REC 42421741 

2 前 必须 等 待 的 时 间 , 特别 对 于 无 状态 
DHCPv6 场景 尤其 要 遵守 这 个 时 间 


广播 和 组 播 服 务 (BCMCS ) 域名 列 
表 一 一 对 应 于 BCMCS 服务 器 (可 能 帮 
33 OPTION_BCMCS_SERVERS_D | 多 台 ) 的 一 个 或 多 个 FQDN 列表 ( BC- RFC 42801461 
MCS HF 3G 无 线 网 络 中 ,使 移动 终端 
可 接收 广播 和 组 播 服务 ) 


广播 和 组 播 服务 IPv6 地 址 列表 
对 应 于 BCMCS 服务 器 (可 能 有 多 台 ) 的 
34 OPTION_BCMCS_SERVERS_A | 一 个 或 多 个 IPv6 地 址 列表 (BCMCS 用 RFC 42801461 
F 3G 无 线 网 络 中 ,使 移动 终端 可 接收 
广播 和 组 播 服务 ) 


35 未 指派 = 一 


地 理 位 置 ,以 市 政 (例如 邮政 ) 格式 
表示 。 这 个 选项 可 由 服务 器 提供 ,将 服 
务 器 的 位 置 .最 近 的 网 元 (例如 路 由 
器 ) 与 客户 端 或 客户 端 自 身 相 关联 。 位 
置信 息 包括 一 个 ISO 3166 国家 代码 
(US DE JP 等 ) 和 国家 特定 的 位 置信 
AA, 例如 州 省 、 乡 .市 街区、 街 组 
(group of streets ) 等 


36 OPTION_GEOCONF_CIVIC RFC 47765!] 


中 继 代理 远 端 ID 选项 一 一 中 继 代理 
在 发 往 DHCPv6 服务 器 的 RELAY- 
FORW 消息 中 插入 的 远 端 身份 。 在 服 
37 OPTION_REMOTE_ID 务 提供 商 环境 中 这 是 有 用 的 ,其 中 在 将 
消息 中 继 到 DHCPv6 服务 器 之 前 ,面向 
订户 设备 的 “边缘 ”设备 为 订户 连接 插 
入 一 个 标识 符 


RFC 4679175] 


中 继 代理 订户 ID 选项 一 一 中 继 代理 
在 发 往 DHCPv6 服务 器 的 RELAY- 
FORW 消息 中 搬入 的 订户 身份 。 在 
38 OPTION_SUBSCRIBER_ID 务 提供 商 环境 中 这 是 有 用 的 ,其 中 在 ; 
订户 所 发 的 消息 中 继 到 DHCPv6 服务 
器 之 前 ,面向 订户 设备 的 “边缘 "设备 
为 订户 插入 一 个 标识 符 


pal 


REC 4580176] 


3S 
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代码 


R 
} 


含义 


( 续 ) 


39 


OPTION_CLIENT_FQDN 


FQDN 选项 


指明 客户 端 或 DHCP 


服务 器 是 否 应 该 以 对 应 于 所 指派 IPv6 


地 址 的 AAA 记录 和 本 选项 中 提供 的 
FQDN 来 更 新 DNS。DHCP 服务 器 总 是 


更 新 PTR 选项 


RFC 4704177] 


40 


OPTION_PANA_AGENT 


这 个 选项 提供 了 与 PANA( 


于 携 让 


I 
2 


网 络 接 入 认证 信息 的 协议 ) 认 证 代理 


(一 个 客户 端 可 以 使 用 的 ) 关 
或 多 个 IPv6 地 址 


pe) 7s 


RFC 5192! °! 


41 


OPTION_NEW_POSIX_TIM- 
EZONE 


日 客户 端 使 用 的 时 区 (TZ) 


, 以 IEEE 


1003. 1 格式 表示 (POSIX 一 一 便携 的 操 
作 系 统 接口 ) 。 这 种 格式 支持 时 区 和 夏 


Ap 


时 间 信息 的 文本 表示 


RFC 48331] 


42 


OPTION_NEW_TZDB_TIM- 
EZONE 


由 表 项 名 索引 的 时 区 数据 库 表 项 。 
客户 端 必须 有 TZ 数据 库 的 一 个 拷贝 ， 
它 


查询 对 应 的 表 项 ,来 确定 它 的 时 区 


RFC 48331521 


43 


OPTION_ERO 


中 继 代 理应 答 ( echo ) 请 求 选项 一 一 


在 RELAY_FORW 消息 中 由 中 继 代 理 


用 来 请 求 DHCPv6 服务 器 回应 某 些 被 


请 求 的 中 继 代理 选项 , 即使 服 


务 器 上 不 


支持 该 选项 也 要 回应 (DHCPv4 服务 器 
总 是 回应 中 继 代理 选项 (82 ) 选 项 ,但 这 
点 在 DHCPv6 中 不 作 要 求 ,因此 中 继 代 


理 的 这 个 选项 要 求 这 种 回应 ) 


RFC 4994178] 


44 


OPTION_LQ_QUERY 


查询 选项 用 于 LEASEQUERY 消息 ， 


用 来 识别 正 被 请 求 的 查询 信 ) 
址 或 客户 


选项 包括 查询 类 型 (由 IA 地 
端 ID 选项 指明 ) 查询 所 施 
址 和 查询 选项 


息 。 这 个 


的 链 路 地 


RFC 50071791 


45 


OPTION_CLIENT_DATA 


客户 端 数 据 一 一 这 个 选项 包含 针对 
一 条 LEASEQUERY_REPLY 消息 内 被 


请 求 的 客户 端 数据 的 查询 响 


应 信息 。 


在 最 低 限度 情况 下 ,这 个 选项 包括 客户 


端 标 识 符 (OPTION_CLIENTID) „TA 地 
址 或 前 级 ( OPTION_IAADDR 和 /或 OP- 
TION_IAPREFIX ) 和 客户 端 发 生 最 近 一 
次 事务 的 时 间 ( OPTION_CLT_TIME) 


RFC 5007/7! 


46 


OPTION_CLIENT_TIME 


客户 端 最 近 一 次 事务 的 时 
明 自 
查询 索引 标明 ) 通 信 以 来 的 秒 
选项 被 封装 在 一 条 LEASEQU 


间 一 一 指 


有 务 器 最 近 一 次 与 客户 端 ( 由 租 期 


数 。 这 个 
ERY- RE- 


PLY 消息 内 部 的 OPTION_CLIENT_DA- 


TA 选项 内 。 


RFC 50071] 
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( 续 ) 
代码 名 字 含义 参考 文献 
中 继 数 据 一 一 用 于 一 条 LEASE- 
QUERY- REPLY 消息 ,提供 与 所 请 求 的 
客户 端 信息 关联 的 中 继 代理 信息 。 这 
47 OPTION_LQ_REPLY_DATA ek a RFC 5007/9! 
ahaa 个 选项 包括 所 接收 客户 端 之 中 继 信息 c 
的 中 继 代理 地 址 以 及 完整 的 被 中 继 
消息 
客户 端 链 路 一 一 识别 一 条 或 多 条 链 
路 ,被 查询 的 客户 端 在 这 些 链 路 上 具有 
» [79] 
48 OPTION_LQ_CLIENT_LINK DHcpv6 B62, BT LL Ak ae Æ PH ID REC 5007 
识别 被 查询 的 客户 端 
移动 IPv6 归属 网 络 信息 一 一 客户 端 ee 
49 | OPTION_MIP6_HNINF 用 之 向 服务 器 标识 其 目标 归属 网 络 (在 a oe 
一 条 信息 请 求 消息 之 中 ) en 
移动 IPv6 中 继 代理 一 一 由 一 台中 继 RE 
50 | OPTION_MIP6_RELAY 代理 使 用 ,通过 一 条 RELAY-FORW 消 | e a Da Bop 
息 识别 归属 网 络 信息 a 
服务 转换 定位 (LoST) 服务 器 域名 ; 
51 OPTION_V6_LOST LoST 协议 将 服务 标识 符 和 位 置信 息 映 REC 522316] 
射 到 服务 URL 
无 线 接 人 点 控制 和 准备 (CAPWAP ) 
52 OPTION_CAPWAP_AC_V6 | 接 入 控制 器 IPv6 地 址 (可 能 有 多 个 地 RFC 5417564] 
HE) ,客户 端 可 连接 这 些 地址 
DHCPv6 成 批租 赁 查询 一 一 为 一 个 指 
53 OPTION_REPLAT_ID EAN PAK AR E HE HS HET Oe H RFC 5460!8!! 
DUID 识别 ) 请 求 租 赁 和 前 组 委派 绑 定 
提供 特定 类 型 IEEE 802.21 移动 性 
54 OPTION_IPv6_Address-MoS | 服务 ( MoS) 的 服务 器 的 IPw 地 址 (可 RFC 5678165] 
能 有 多 个 ) 列 表 
提供 特定 类 型 IEEE 802. 21 移动 性 
55 OPTION_IPv6_FQDN- MoS 服务 ( MoS) 之 服务 器 的 FQDN ( FY eA RFC 5678165] 
多 个 ) 列 表 
网 络 时 间 协 议 (NTP) 和 简单 NTP 
56 OPTION_NTP_SERVER (SNTP) 服务 器 地 址 (可 能 有 多 个 ) 和 / REC 5908[1801 
ee OPTION _F6_ACCESS_DO- 在 这 个 接 入 网 络 上 位 置信 息 服务 器 draft- ietfgeopriv-lisdisc- 
MAIN (LIS) 的 域名 overy- 151178] 
Iraft- lawrencesipforum- 
58 OPTION_SIP_UA_CS_LIST 会 话 初始 协议 (SIP) 用 户 代理 配置 ae 
useragent- config-03 !17! 
lraft- dhedhepv6- >- 
59 | OPT_BOOTFILE_URL 客户 端 启动 文件 的 URL pci PO 


tboot-10!'8!! 
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(8) 
代码 名 字 含义 参考 文献 
EN T draft- dhedhepv6- optnet- 
60 OPT_BOOTFILE_PARAM 客户 端 启动 文件 参数 boor 101181] 
oot- 
OPTION_CLIENT_ARCH. en : draft- dhedhepv6- optnet- 
61 SSS | 客户 端 系统 架构 > 


TYPE 


boot- 10! '8!! 


62 OPTION_NII 


统一 网 络 设备 接口 (UNDI) 支持 的 客 
户 端 网 络 接口 


draft- dhedhepv6- optnet- 
boot- 101181! 


63 ~ 


Bax 未 指派 


第 6 f= DHCPv6 的 各 项 应 用 


DHCP 的 最 基本 应 用 是 地 址 指派 的 自动 化 。 当 我 们 连接 到 一 个 卫 网 络 时 ， 


想当然 地 使 用 DHCP。 通 过 自动 地 进行 IP 层 的 初始 化 ， 这 项 基本 功能 使 各 项 IP 应 用 
比较 容易 使 用 。 端 用 户 不 需要 呼叫 (为 计算 机 用 户 提供 的 ) 网 络 支 持 服务 来 得 到 TP 


地 址 ， 并 将 IP 地 址 输入 到 他 们 的 设备 之 中 。DHCP 不 仅 使 IP 地 址 指派 自动 化 ， 


我 们 


而 且 


使 网 络 管理 员 保留 了 如 下 控制 能 力 ， 即 控制 哪些 TP 地 址 可 指派 到 某 些 客户 端 ， 


其 全 


像 我 们 将 在 第 8 章 中 描述 的 那样 拒绝 访问 。 除 了 基本 的 地 址 指派 服务 外 ， 在 本 章 我 们 


将 讨论 依赖 于 DHCP 的 各 项 技术 应 用 。 当 然 ， 依 赖 于 DACP 的 这 些 应 用 因此 也 要 依赖 


于 与 卫 地址 规划 一 致 的 DHCP 配置 。 


本 童 突出 要 求 特 定 用 途 DHC 配置 的 那些 应 用 ， 这 些 配置 包括 设备 特定 的 配置 和 


宽带 信息 准备 提供 (服务)。 基 于 DHCP 的 访问 控制 也 可 归 组 在 这 个 话题 之 下 ， 
们 将 在 第 8 章 安全 上 下 文 下 讲解 那 项 内 容 。 


但 我 


支持 采用 DHCP 的 各 项 应 用 的 基石 ， 是 DHCP 服务 器 对 请 求 一 个 地 址 的 设备 进行 
分 类 ， 并 提供 一 个 合适 的 JP 地址 和 其 他 配置 信息 的 能 力 。 这 种 将 客户 端 分 类 为 客户 
端 类 (client class) 的 做 法 使 DHCP 管理 员 能 够 识别 在 一 个 特定 DHCP 报 文 字段 或 选 
项 内 部 的 一 个 参数 值 ， 以 便 在 依据 DACP 事务 的 基础 上 进行 匹配 。 当 一 个 客户 端 被 分 


ARM, ABA DHCP 服务 器 可 确定 如 下 内 容 。 
1) 从 哪个 IP 地 址 池 中 向 客户 端 指派 一 个 地 址 (如果 还 有 可 用 地 址 的 话 ) 。 
2) 向 客户 端 提供 哪些 其 他 的 或 替代 的 选项 参数 值 。 


来 自 因 特 网 系统 联盟 (ISC, Internet Systems Consortium) 和 微软 的 领先 DHCP 参 


考 实现 ， 都 支持 厂商 类 标识 符 (对 于 IPv4 是 选项 60， 对 于 IPv6 是 选项 16) 和 用 


户 类 


标识 符 (对 于 IPv4 是 选项 77， 对 于 IPv6 是 选项 15) 选项 作为 类 参数 。 当 这 些 选 项 被 
包括 在 发 现 (Discover) 或 索 求 (Solicit) 报 文 中 时 ， 服 务 器 可 使 用 这 个 信息 来 识别 


请 求 其 配置 的 设备 的 类 型 。 


6.1 多 媒体 设备 类 型 特定 配置 


迄今 为 止 我 们 使 用 的 最 常见 范例 应 用 是 多 媒体 设备 初始 化 应 用 ， 例 如 TP 上 的 语 
音 (VolP) 设备 。 在 许多 情形 中 ， 多 媒体 厂商 制造 商 对 一 个 给 定 厂 商 类 标识 符 选 项 
值 进 行 编码 。 多 数 厂商 在 厂商 类 标识 符 选项 字段 内 部 ， 提 供 一 个 模型 号 和 /或 制造 商 


名 。 将 DHCP 服务 器 配置 可 识别 这 个 特定 值 ， 就 使 服务 器 能 够 提供 客户 端 要 求 的 某 些 


DHCP 选项 ， 并 从 一 个 特定 地 址 池 中 指派 一 个 IP 地址。 要 求 使 用 特定 配置 参数 的 其 


他 针对 应 用 的 DHCP 客户 端 ， 可 类 似 地 加 以 识别 并 在 对 应 厂商 类 选项 的 值 基础 上 进行 


配置 。 
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用 户 类 标识 符 选 项 是 用 来 确定 客户 端 配 置 的 另 一 个 候选 方法 。 但 是 ， 典 型 情况 
下 ， 因 为 用 户 类 标识 符 是 端 用 户 可 设置 的 ， 所 以 人 们 认为 它 是 不 太 可 靠 的 。 如 果 用 户 
类 组 之 外 的 一 名 用 户 发 现 了 对 应 于 用 户 类 组 的 值 或 设置 ， 则 他 或 她 可 相应 地 对 他 或 她 
的 设备 进行 编程 。 例 如 ， 使 用 微软 的 带 有 /setclassid 参数 的 ipconfig 工具 ， 要 设置 用 户 
类 标识 符 选项 的 值 是 非常 容易 的 。 

在 第 4 章 ， 当 讨论 IPAM 全 球 公司 的 旧金山 办 事 处 的 客户 端 类 设置 时 ， 为 了 依据 
厂商 类 来 区 分 VoIP 设备 ， 我 们 介绍 了 一 个 范例 VoIP 应 用 配置 。 图 4-5b 在 这 里 重 画 
为 图 6-1， 形 象 地 展示 了 配置 一 台 ISC DHCP 服务 器 的 一 个 简单 范例 ， 该 例 中 说 明 如 
果 一 条 DHCP 报 文 包含 了 值 为 “vendorY” 的 一 个 厂商 类 标识 符 选 项 ， 而 服务 器 识别 
类 “vendor-y” 的 各 客户 端 。 一旦 被 分 类 为 一 台 vendor-y 设备 ， 则 将 从 带 有 相应 路 由 
器 和 DNS 服务 器 选项 的 10. 16. 129. 20 ~ 10. 16. 129. 250 池 中 ， 向 客户 端 发 行 指派 一 个 
地 址 。 指 定 这 些 选 项 值 ， 在 这 个 地 址 池 声 明 内 部 带 有 “vendor-y” 语 句 的 被 允许 
成 员 。 

类 似 地 ， 类 “vendor-x*” 的 设备 将 被 提供 值 为 “vendorX” 的 一 个 厂商 类 标识 符 
选项 的 客户 端 加 以 辨认 。 将 从 10. 16. 128/23 子 网 上 带 有 路 由 器 (和 tftp-server-name) 
选项 值 的 10. 16. 128. 20 ~ 10. 16. 128. 250 池 中 向 这 些 设备 指派 地 址 。 

ISC DHCP 服务 器 支持 在 其 他 类 参数 上 的 过 滤 操 作 ， 事 实 上 ， 从 MAC 地 址 、MAC 
地 址 的 一 个 子 网 或 任何 选项 值 的 任何 一 个 报 文 参数 均 可 。 如 果 需 要 过 滤 一 个 给 定 的 
MAC 地 址 (接口 卡 ) 或 MAC 前 级 (制造 商 ) ， 并 指派 某 些 参数 的 话 ， 则 这 样 做 是 非 
党 方便 的 。 


class“vendor—-x”{ . 3 
match if (vendor—class—dentifier TALR 
option tftp-server-name sf—tftp.ipamworldwide.com? 


9 


} 


class“vendor-y ”{ 
match if (vendor—class—identifier =“vendor Y”); 


subnet 10.16.128.0 netmask 255.255.254.0 


pool { 
&> DHCP allow members ofvendors—x”; 
服务 器 range 10.16.128.20 10.16.128.250; 
option routers 10.16.128.1, 10.16.129.1 


$ 
pool ( 
allow members of“vendors-y”; 
range 10.16.129.20 10.16.129.250; 
option routers 10.16.129.2 
option domain-name-servers 10.16.129.11 ... 


图 6-1 依据 类 ,为 DHCP 客户 端 指定 配置 信息 (依据 参考 文献 [35] 的 语法 ) 


6.2 宽带 订户 配置 信息 准备 


有 线 电 缆 产 业 为 有 线 电缆 上 的 数据 传输 定义 了 一 个 标准 ， 被 称 作 有 线 电 缆 上 
数据 服务 接口 规范 (DOCSIS@) 。DOCSIS 规范 ， 是 由 Cablelabs HAW, 要求 使 
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用 DHCP 为 顾客 端 设备 (CPE) (例如 线 缆 调 制 解 调 器 和 电话 设备 ) 提供 配置 信 
息 。 提 供 有 线 电缆 数据 或 宽带 因特网 服务 的 一 个 有 线 电缆 运营 商 ， 必 须 部 署 DH- 
CP 服务 器 来 支持 CPE 配置 信 ， et A a 
和 光纤 ) 也 可 使 用 DHCP 或 Bootp ， 虽 然 诸 如 PPP (点 到 点 协议 ) 也 可 由 这 
带 技术 所 用 。 

将 DHCP 集成 到 配置 信息 提供 过 程 ， 这 使 在 IP 地 址 指派 和 容量 以 及 CPE 用 于 初 
始 化 的 其 他 配置 参数 上 的 宽带 运营 商 控 制 ， 是 经 济 上 负担 得 起 的 。DHCP 也 可 被 用 来 
从 对 应 于 各 种 服务 等 级 (依据 客户 的 订购 信息 ) 的 地 址 池 中 指派 卫 地 址 。 从 一 个 给 
定 地 址 池 中 指派 一 个 地 址 的 做 法 ， 要 求 网 络 路 由 基础 设施 被 配置 成 : 将 带 有 这 种 地 址 
的 IP 报 文 仅 路 由 到 某 些 网 络 ， 人 允许 对 某 些 目的 地 的 访问 ， 并 以 相应 的 优先 级 和 排队 
来 处 理 报 文 。 

让 我 们 考虑 一 个 范例 来 说 明 这 些 概 念 。 在 图 6-2 中 ， 三 个 订户 通过 宽带 接 入 网 络 
被 连接 到 同一 个 宽带 网 关上 。 该 图 将 每 个 订户 图 示 为 带 有 各 种 服务 等 级 ， 由 不 同 的 阴 
ein 这 些 订户 被 连接 到 宽 ee dts 取决 于 宽带 接 入 技术 ， 这 些 端 
可 能 是 物理 端口 也 可 能 是 共享 网 络 接 人 的 逻辑 端 


图 6-2 ”宽带 接 人 场景 Cl 
不 管 宽带 接 入 技术 为 何 种 技术 ， 使 用 DHCP 的 各 服务 提供 商都 需要 依据 已 知 的 或 


可 信 的 信息 ， 进 行 地 址 和 参数 指派 。 服 务 提供 商 并 不 依赖 于 DHCP 报 文 的 客户 端 硬 件 
地 址 字段 ( 它 可 能 被 伪造 ) ， 而 是 依赖 于 来 自 宽带 网 关 的 信息 ， 该 网 关 位 于 服务 提供 
商 的 网 络 内 ， 并 被 认为 是 值得 信任 的 。 

作为 一 个 DHCP 中 继 代 理 的 宽带 网 关 ， 将 DACP 报 文 单 播 到 合适 的 DHCP 服务 器 
(可 能 是 多 台 ) ， 在 DHCP 报 文 首部 内 部 插入 GIAddr 字段 。 网 关 在 空 选项 终结 符 之 前 ， 
插入 中 继 代理 信息 选项 参数 作为 最 后 一 个 选项 。 中 继 代理 信息 选项 提供 诸如 订户 设备 
硬件 地 址 或 订户 虚 电 路 标识 符 等 信息 ， 帮 助 DHCP 服务 器 识别 发 出 DHCPDISCOVER 
报 文 的 订户 客户 端 。 

这 使 DHCP 服务 器 在 其 配置 的 基础 上 ， 向 一 个 给 定 的 订户 提供 合适 数量 的 卫 地 
址 和 /或 选项 参数 。 在 IPv4 中 的 中 继 代 理 信 息 选 项 (选项 82) 是 由 一 个 或 多 个 子 选 
项 组 成 的 ， 如 下 定义 这 些 子 选项 。 
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子 选项 代码 


描 述 


RFC 索引 


电路 ID 


对 有 关 到 订户 的 连接 信息 进行 编码 。 
这 由 对 应 于 订户 的 一 个 虚 电 路 标识 符 
(典型 地 对 应 于 一 个 层 2 标识 符 , 如 一 
个 ATM 虚 电 路 ID , 帧 中 继 数据 链 路 连 
接 标识 符 ( DLCI) ) ,或 远 端 接 人 服务 器 
或 交换 机 端口 号 组 成 


3046[4] 


就 远 端 客户 端 设备 的 信息 进行 编码 ， 
例如 其 以 太 网 地 址 、 调 制 解 调 器 标识 符 
或 一 条 拨号 连接 的 呼叫 者 ID 


3046[4] 


未 使 用 


DOCSIS 设备 类 


就 有 线 电缆 CPE 的 DOCSIS 设备 类 
进行 编码 。 这 个 选项 适用 于 DOCSIS 有 
线 电缆 接 和 人 网 络 ,CMTS( 有 线 电线 边缘 
设备 ) 可 在 这 个 信息 (在 DOCSIS 注册 
过 程 中 采集 到 的 ) 的 基础 上 包括 这 个 子 
选项 


325618] 


链 路 选择 


对 由 DHCP 服务 器 使 用 的 一 个 IP 
址 (替代 GIAddr 字段 ) 进行 编码 , 当 
客户 端 进行 地 址 指派 而 选择 一 个 子 
地 址 时 , DHCP 服务 器 使 用 这 个 地 址 。 
当 正 在 使 用 共享 的 子 网 2 时 ,这 将 是 适 
用 的 。 


y a g 


3527/83 1 


订户 ID 


对 一 个 订户 标识 符 字 符 串 编码 ,该 字 
符 串 将 DHCPDISCOVER 与 给 定 的 订户 
客户 端 关联 起 来 。 如 果 订 户 在 各 种 媒 
介 上 访问 网 络 ,这 将 是 有 用 的 ,其 中 电 
路 标识 符 或 远 端 标识 符 的 用 途 将 仅 指 
明 低层 的 接 入 机 制 , 而 不 指明 订户 关联 


3993184] 


RADIUS 属性 


依据 RADIUS 协议 (RFC 2865 ) 对 
RADIUS 属性 编码 ,在 进行 参数 指派 时 ， 
DHCP 服务 器 将 用 这 些 属性 。 这 些 属 
性 可 被 编码 为 一 个 类 型 长 度 值 的 字 节 
流 ,并 可 包括 用 户 名 口令 、 接 入 服务 器 
JP/ 端 口 以 及 其 他 属性 


40141%] 


认证 


对 认证 信息 进行 编码 ,作为 在 中 继 代 
理 信息 上 提供 消息 完整 性 的 一 种 方法 。 
这 种 编码 类 似 于 第 8 章 讨论 的 DHCP 
认证 所 用 的 编码 方法 


40301861 


”共享 的 子 网 指 在 单一 物理 子 网 〈 路 由 器 接 


) 上 提供 多 个 逻辑 子 网 。 
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(2) 
子 选项 代码 名 称 fi 述 RFC 索引 
编码 为 一 个 或 多 个 厂商 特定 的 信息 
9 厂商 特定 信息 集合 ,每 个 集合 由 一 个 三 元 组 组 成 :| 4243/87) 


IANA 注册 的 企业 号 .长度 和 数据 
标志 条 件 的 可 扩展 子 选项 ;定义 了 一 

k 志 ,指明 中 继 代 理 是 通过 单 播 (1) | 5010588! 
还 是 广播 (0) 接 收 到 DHCP 报 文 的 


10 中 继 代 理 标志 个 标 
84 DHCP 服务 器 在 其 响应 客户 端 

时 ,要 在 服务 器 标识 符 字 段 中 使 用 这 个 
指定 的 值 ;这 使 中 继 代 理 能 够 接收 DH- 
pp ene | CPRENEW 报 文 (以 其 他 方式 中 继 代理 

示 识 符 重 写 ae [89] 
1o | 服务 器 标识 符 量 写 | 是 看 不 到 这 种 报 文 的 ) , 当 向 服务 器 转 | 5107 
发 DHCPRENEW 报 文 时 ,使 中 继 代理 
搬入 与 客户 端 关联 的 其 他 中 继 代理 子 
选项 值 


~ 


在 DHCPv6 内 部 ， 定 义 了 两 个 类 似 的 选项 。 

1) 代码 37 = Option_remote_id (选项 - 远 端 ID) 。 

2) 代码 38 = Option_subscriber_id (选项 -订户 ID), 

让 我 们 考虑 使 用 ISC DHCP 语法 (35) 的 一 个 范例 DACP 服务 器 配置 ， 来 形象 地 
说 明 中 继 代理 处 理 。 这 个 陈述 声明 了 类 “broadband” 宽带) ， 它 依据 的 是 中 继 代理 
识别 选项 的 电路 ID 子 选项 。 这 里 ， 我 们 定义 单一 客户 端 类 ， 但 提供 子 类 来 识别 宽带 
类 的 特定 实例 。 在 这 个 情形 中 ， 我 们 为 电路 ID 子 选 项 的 两 个 对 应 值 简单 地 定义 两 个 
子 类 。 

class “broadband” | 


match option agent. circuit-id; 


| 
subclass “modem” “45023” | 


[ declarations and parameters for modem devices ]/ * 调制 解 调 需 设备 的 声明 和 
参数 */ 
| 
subclass “phone” “67032” | 
[ declarations and parameters for phone devices ]/ * 电话 设备 的 声明 和 参数 * / 
| 
一 种 比较 具有 扩展 能 力 的 方法 将 是 利用 IC DHCP 实现 的 类 衍生 特征 。 和 限制 租 
赁 或 可 指派 给 一 名 订户 的 IP 地 址 数量 的 能 力 一 起 ， 我 们 来 形象 地 说 明 这 点 。 一 个 基 
本 层次 的 服务 可 承诺 单一 IP 地 址 ， 而 一 个 较 高 层次 的 服务 (以 及 也 许 还 有 价格 ) 可 
包括 两 个 或 更 多 个 IP 地 址 。lease limit ( 租 期 限制 ) 语句 支持 在 ISC DHCP 配置 文件 
内 部 的 这 项 特征 控制 。 这 个 语句 可 与 一 个 客户 类 定义 关联 ， 来 指定 最 大 租 期 数 ， 可 用 
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于 提供 给 匹配 这 个 类 的 各 客户 端 。 

类 衍生 (spawning) 功能 可 依据 DHCP 报 文中 的 信息 ， 使 客户 端子 类 的 在 线 动态 
生成 或 产生 成 为 可 能 。spawn with (以 … 产 生 ) 声明 以 产生 所 依据 的 参数 定义 了 一 个 
产生 类 。 例 如 ，DHCP 服务 器 可 被 配置 为 : 依据 每 个 唯一 的 电路 ID 中 继 代 理子 选项 
值 来 产生 客户 端 类 。 因 此 ， 当 DACP 服务 器 接收 到 一 条 DHCPDISCOVER 报 文 时 ， 它 
就 分 析 电 路 ID 子 选项 。 如 果 对 于 给 定 值 ， 存 在 一 个 类 (以 前 产生 的 ) ， 则 为 进行 处 
理 而 分 析 相 应 的 参数 和 声明 ; 如 果 不 存在 带 有 那个 电路 ID 的 一 个 类 ， 则 DHCP 服务 
器 为 给 定 值 产生 一 个 新 的 子 类 。 如 下 范例 形象 地 说 明了 带 有 一 个 衍生 子 类 的 一 个 宽带 
客户 端 类 的 定义 ， 它 依据 的 是 电路 ID ， 该 定义 使 用 ISC DHCP 语法 (35), ， 将 待定 的 
订户 租 期 限制 为 最 大 为 6。 


class “broadband” | 


spawn with option agent. circuit- id; 
lease limit 6; 


| 
6.3 有关 租 期 指派 或 限制 的 各 项 应 用 


依据 中 继 代理 信息 ， 使 用 租 期 限制 和 参数 设置 的 方法 ， 并 不 仅 适用 于 宽带 环境 。 
其 他 应 用 也 可 使 用 相同 的 技术 ， 前 提 是 中 继 代理 支持 中 继 代理 信息 选项 的 全 体 。 在 这 
种 情形 中 ， 使 用 ISC DHCP 服务 器 的 方法 ， 支 持 依 据 所 定义 类 和 中 继 代理 信息 参数 ， 
进行 地 址 和 参数 指派 以 及 租 期 限制 。 这 项 技术 可 用 来 限制 某 些 子 网 上 的 地 址 指派 速 
BE, 或 在 工厂 或 类 似 应 用 中 向 设备 提供 配置 参数 。 


6.4” 预 启动 执行 环境 客户 端 


预 启动 执行 环境 (PXE 或 “Pixie”) 客户 端 是 这 样 的 设备 ， 它 依赖 于 网 络 服务 器 
而 不 是 一 块 共存 的 硬盘 来 启动 。 这 种 无 盘 服务 器 和 其 他 这 种 设备 典型 地 使 用 DHCP 来 
得 到 一 个 IP 地 址 和 启动 参数 (包括 启动 服务 器 地 址 和 启动 文件 名 ) o DHCP 提供 了 一 
种 简便 的 机 制 ， 在 没有 人 工 介 入 的 情况 下 ， 初始化 这 些 设备 。 从 历史 角度 而 言 ，DH- 
CP 服务 器 必须 配置 每 个 PXE 客户 端的 MAC 地 址 ， 以 便 提供 特定 于 该 设备 的 配置 信 
息 ， 即 使 相同 “type”( 类 型 ) 的 多 个 PXE 客户 端 可 准确 地 利用 相同 启动 信息 时 也 是 
如 此 。 

RFC 4578 史 是 一 个 信息 型 的 RFC， 它 定义 了 这 样 一 种 方式 ， 其 中 一 个 PXE 客户 
端 可 向 服务 器 标识 它 的 类 型 或 架构 。 这 个 信息 可 被 DHCP 服务 器 用 来 识别 并 提供 合适 
的 设备 初始 化 参数 。DHCP 服务 器 将 需要 配置 成 匹配 特定 的 客户 端 提供 的 PXE 选项 
值 ， 之 后 将 这 些 值 映射 到 配置 参数 或 选项 的 一 个 对 应 集合 ， 并 将 之 返回 给 客户 端 。 很 
自然 地 ， 这 由 使 用 客户 端 类 处 理 来 完成 的 。 

可 包括 在 PXE 客户 端 和 DHCP 服务 器 之 间 的 选项 如 下 。 
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(1) 选项 93 一 一 客户 端 系统 架构 类 型 
其 包括 在 事务 过 程 中 的 所 有 DHCP 报 文 之 中 。 

1) Intel x86PC, 

2) NEC/PC98 。 

3) EFI Itanium, 

4) DEC Alpha, 

5) Are x86, 

6) Intel Lean Client (#27 Fig) o 

7) EFI IA32 。 

8) EFI BC, 

9) EFX Xscale, 

10) EFI x86-64, 

(2) 选项 94 一 一 客户 端 网 络 接口 标识 符 一 一 识别 网 络 接口 类 型 和 版 本 ， 并 必须 
被 包括 在 事务 的 所 有 DHCP 报 文中 。 唯 一 定义 的 接口 类 型 是 用 于 统一 网 络 设备 接口 
(UNDI) 的 类 型 。 

(3) 选项 97 一 一 客户 端 机 带 标 识 符 一 一 识别 机 器 启动 的 类 型 。 这 个 选项 采用 一 
个 类 型 和 标识 符 进行 编码 。 唯 一 定义 的 类 型 0， 指明 该 标识 符 被 编码 为 一 个 16 字 节 
的 全 局 唯一 标识 符 (GUID). 

(4) 选项 128 ~135 一 一 PXE 客户 端 请 求 这 些 选项 ， 如 果 需 要 的 话 ， 其 意图 是 用 
于 下 载 的 启动 程序 ， 虽然 后 来 并 没有 被 广泛 指派 为 PXE MR, 

要 小 心 注意 的 是 ， 使 用 选项 128 ~ 135 的 PXE 客户 端 可 能 与 汇总 于 第 4 章 中 这 些 
选项 的 其 他 被 指派 含义 相 冲 突 。 


6. 4.1 PPP/RADIUS 环境 


RADIUS (远程 接 入 拨 入 用 户 服务 ) 协议 提供 了 认证 尝试 连接 到 一 个 网 络 的 端 用 

户 的 一 种 方法 。RADIUS 是 802. 1X 的 一 个 重要 组 成 ，802. 1X 是 在 主要 的 网 络 接纳 控 
制 (NAC) 文献 内 提出 的 一 个 流行 的 层 2 媒介 接 入 控制 协议 。RADIUS 在 层 3 也 起 了 
定 作 用 ， 特 别 当 与 PPP 连接 一 起 使 用 时 更 是 如 此 ， 普 遍 情况 下 与 拨号 或 DSL 连接 
起 使 用 。 
当 在 层 3 工作 时 ， 一 些 RADIUS 服务 器 可 被 配置 成 向 PPP 连接 另 一 端的 每 个 客户 

端 指派 IP 地 址 。 这 个 地 址 指派 过 程 可 由 服务 器 上 直接 配置 的 一 个 地 址 池 完 成 ， 或 配 
置 RADIUS 服务 器 通过 一 台 DHCP 服务 器 得 到 一 个 地 址 来 完成 。 在 后 一 种 场景 中 ， 
RADIUS 服务 器 的 功能 是 代表 客户 端的 一 个 DHCP 代理 。RADIUS 服务 器 发 起 DHCP 
D-O-R-A 过 程 ， 发 出 一 条 DHCPDISCOVER 报 文 。 采 用 这 种 方法 的 一 个 说 明 是 ，RA- 
DIUS 服务 器 必须 代表 每 个 客户 端 〈 目 的 是 唯一 地 识别 这 些 客户 端 ) ， 产 生 一 个 硬件 
地 址 或 客户 端 标 识 符 。 和 否则 ， 将 会 使 用 RADIUS 服务 器 的 硬件 地 址 ， 这 时 DHCP 服务 
器 将 假定 同一 客户 端 会 不 断 地 重启 ， 并 在 所 有 请 求 上 指派 同一 耳 地址 。RADIUS 服务 
器 可 使 用 一 种 内 部 机 制 来 伪造 客户 端的 硬件 地 址 ， 但 需要 将 推演 得 到 的 地 址 映射 到 端 


指定 PXE 设备 的 架构 类 型 ， 并 必须 将 


[uy 
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客户 端 ， 以 便 处 理 如 刷新 和 释放 等 后 续 租赁 事务 。 另 一 种 方法 是 利用 前 面 描述 的 中 继 
代理 信息 选项 的 RADIUS 属性 子 选 项 ， 以 便 唯一 地 识别 每 个 客户 端 。 


6.4.2 移动 IP 


移动 IP 为 一 台 卫 设备 保留 网 络 连通 性 ， 同 时 在 一 个 本 地 或 远 端 卫 网 络 周 围 到 处 
移动 ， 提 供 了 一 种 机 制 。 这 种 移动 可 能 发 生 在 从 一 个 总 部 会 议 到 在 一 个 分 支 办 事 处 打 
开 一 个 新 会 话 的 一 个 通信 会 话 过 程 中 ， 即 不 仅 当 发 起 实施 一 个 会 话 及 之 后 终止 该 会 话 
(比如 ) 时 会 发 生 移动 。 移 动 设备 有 一 个 家 乡 地 址 (对 应 于 其 家 乡 网 络 ) ， 还 有 一 个 
转交 地 址 ， 这 是 在 服务 网 络 上 得 到 的 〈 取 决 于 移动 设备 当前 连接 在 哪儿 ) 。 例 如 ， 如 
果 当 到 城镇 外 时 ， 我 打开 我 的 个 人 数字 助理 (PDA) 设备 ， 我 会 从 一 个 不 同 于 我 正常 
在 家 时 所 用 的 一 个 服务 提供 商 处 得 到 无 线 服 务 。 只 要 我 的 家 乡 提供 商 与 我 正在 访问 的 
提供 商 有 服务 协议 (agreement) ， 我 就 应 该 能 够 手工 配置 、 通 过 DHCP 或 通过 自动 配 
置 得 到 一 个 地 址 。 

IP 移动 性 在 IPv4 和 IPv6 之 间 多 少 存在 不 同 ， 但 这 两 个 协议 都 利用 了 如 下 概念 ， 
即 一 个 移动 节点 处 理 一 个 家 乡 地 址 〈 这 是 在 家 乡 网 络 上 的 节点 的 地 址 ) 和 一 个 转交 
地 址 〈 它 在 拜访 网 络 上 的 地 址 ) 。 虽 然 严 格 意义 上 说 它 不 是 一 项 DHCP“ 应 用 ”, 但 
我 们 在 这 里 提 到 它 ， 是 就 地 址 分 配 和 指派 策略 而 言 ， 应 该 是 需要 考虑 的 一 个 领域 ,并 
不 涉及 在 您 所 在 网 络 上 和 拜访 节点 的 访问 安全 性 问题 。 
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本 章 详 细 研 究 DHCP 的 部 署 策略 和 折 中 考虑 。 多 数 折 中 考虑 会 遇 到 预算 资金 和 服 
务 需 数量 的 陷 哇 ， 所 以 最 普遍 的 目标 是 将 DHCP 服务 器 部 署 到 端 用 户 将 总 能 以 及 时 的 
方式 得 到 这 些 服 务 的 位 置 ， 同 时 使 花 在 部 署 服务 器 和 相关 联 服务 器 生命 周期 间 成 本 的 
总 资金 最 小 化 。 这 个 简单 陈述 的 目标 意味 着 对 高 可 用 和 合理 性 能 服务 的 需求 ， 这 些 都 
要 在 预算 约束 之 内 提供 。 预 算 资金 必须 不 仅 要 计算 服务 器 购买 费用 ， 而 且 要 计算 将 来 
的 支持 和 维护 费用 ， 这 包括 服务 器 硬件 升级 、 操 作 系 统 (OS) 补丁 和 升级 以 及 新 功 
能 、 缺 陷 修 正 或 安排 措施 的 DHCP 升级 。 


7.1 DHCP 服务 器 平台 


DHCP 服务 器 可 部 署 在 物理 硬件 服务 器 或 仪器 的 各 种 平台 上 或 部 署 为 一 个 虚拟 机 
(VM) 平台 上 的 虚拟 服务 器 。 当 我 们 讨论 部 署 可 能 选择 项 时 ， 我 们 比较 一 般 化 地 使 
用 “平台 ”这 个 术语 ， 在 每 种 情形 中 它 通常 被 解释 为 这 些 选项 之 一 。 


7.1.1 DHCP 软件 


部 署 DHCP 服务 器 的 传统 模型 需要 部 署 一 台 物 理 服 务 器 (支持 建议 采用 的 处 理 组 
件 ) 和 操作 系统 (由 相应 的 DHCP 软件 厂商 支持 )。 为 了 最 大 化 硬件 利用 率 ， 在 这 样 
的 服务 器 上 也 可 安装 其 他 应 用 。 


7.1.2 虚拟 机 DHCP 部 署 


存在 可 用 于 主要 Windows 和 Linux 操作 系统 (0S) 各 版 本 的 虚拟 机 (VM) ， 这 
使 在 微软 VM 上 部 署 微软 DHCP 以 及 在 Linux VM 上 部 署 ISC 成 为 可 能 。 在 VM ERE 
DHCP 的 做 法 ， 节 省 了 硬件 成 本 、 机 架空 间 和 电源 走 线 ( draw)， 同 时 相 比 于 在 一 台 
通用 硬件 服务 器 上 安装 一 个 DHCP 守护 进程 的 做 法 ， 具 有 更 好 的 隔离 能 力 。 主 要 的 仪 
器 设备 厂商 也 将 他 们 的 仪器 设备 产品 以 虚拟 机 方式 提供 ， 这 将 VM 的 优势 与 仪器 设备 
的 优势 结合 起 来 ， 下 面 会 讨论 这 点 。 


7.1.3 DHCP 仪器 设备 


DHCP 仪器 设备 是 预 装 DACP 服务 于 安全 的 硬件 平台 上 ， 典 型 见 到 的 是 基于 Intel 
的 带 有 硬化 (hardened) Linux 操作 系统 的 平台 。 就 像 路 由 需 一 样 ， 它 们 初始 情况 下 
是 部 署 为 运行 于 通用 硬件 上 的 软件 ， 之 后 演化 为 特殊 用 途 的 硬件 平台 ，DHCP 仪器 设 
备 提 供 了 DHCP 服务 自 包含 硬件 平台 的 一 条 演进 路 径 。 仪 器 设备 被 “硬化 ”是 指 ， 
安装 在 平台 上 的 基本 Linux 内 核 被 除了 任何 不 必要 的 服务 。 这 样 得 到 的 是 一 个 定制 
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化 的 内 核 和 0S， 它 仅 支持 DHCP 服务 〈( 以 及 由 厂商 支持 的 其 他 服务 ， 例 如 DNS) 。 仪 
器 设备 广 商 也 应 该 相应 地 也 削减 掉 了 底层 文件 系统 、 用 户 、 权 限 和 网 络 端口 

仪器 设备 提供 一 站 式 购买 的 简化 部 署 方法 ， 而 不 是 不 得 不 协调 并 采购 服务 器 硬 
件 、 安 装 合适 的 OS 版 本 和 对 应 的 补丁 (patch level) ， 之 后 安装 DHCP 服务 软件 。 仪 
器 设备 可 简化 将 来 的 升级 过 程 ， 方 法 是 对 带 有 符合 要 求 的 OS 和 相应 硬件 平台 的 服务 
版 本 的 升级 (程序 ) 进行 预 打 包 处 理 。 取 决 于 厂商 ， 这 些 升 级 可 从 单一 中 心 式 控 甫 
台 实 施 ， 这 种 做 法 免除 了 物理 上 安排 人 员 来 实施 升级 的 需求 另外 ， 多 数 广 商 支持 所 
部 署 仪器 设备 的 中 心 式 监测 ， 这 使 中 断 或 性 能 降级 的 提前 (proactive) 检测 成 为 
可 能 。 

当然 通常 来 说 ， 仪 器 设备 要 比 通用 服务 器 硬件 成 本 高 ， 而 且 多 数 都 集成 ISC DH- 
CP 服务 ， 对 于 多 数 占 主导 地 位 的 OS 来 说 它 是 可 免费 获得 的 ， 网 址 是 www. isc. org, 
在 本 章 中 ， 我 们 将 焦点 放 在 DHCP 服务 的 部 署 策略 上 ， 而 不 考虑 是 在 通用 硬件 还 是 在 
仪器 设备 平台 上 的 实现 方法 。 


7.2 中 心 式 DHCP 服务 器 部 署 


一 般 说 来 ，DHCP 服务 器 的 部 署 归 结 为 如 下 两 方面 的 折 中 考虑 ， 一 是 “比较 靠 
近 ” 客 户 端的 大 量 服务 的 广泛 部 署 分 配 (distribution) ， 一 是 从 各 种 位 置 来 服务 客户 
端的 少量 DHCP 服务 器 的 范围 受 限 的 (narrow) 部 署 分 配 。 这 种 折 中 考虑 的 极端 情况 
是 ， 其 一 在 每 个 子 网 上 有 一 台 DHO 服务 器 ， 其 二 是 一 台 或 多 台 DHCP 服务 器 处 于 中 
心 位 置 ， 服 务 机 构 组 织 的 所 有 客户 端 。 关 键 是 在 客户 端 和 服务 器 间 的 DHCP 服务 的 可 
用 性 和 合理 的 性 能 之 间 做 出 平衡 ， 而 同时 要 保持 在 服务 器 和 由 此 导致 的 可 预见 未 来 管 
理 预算 约束 之 内 。 您 所 做 的 部 署 将 极 可 能 处 在 这 两 种 极端 情况 之 间 。 
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图 7-1 形象 地 说 明了 IPAM 全 球 公 司 的 完全 中 心 式 部 署 方法 的 场景 。 这 个 场景 重 
REP 3 章 图 3-2 的 高 层 网 络 图 之 上 ， 其 特征 是 每 个 区 域 部 署 一 对 DHCP 服务 器 ， 一 
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台 服 务 器 作为 主 服务 器 ， 另 一 台 服 务 器 作为 故障 切换 或 备份 之 用 。 所 有 DHCP 流量 必 
须 以 隧道 方式 传输 到 区 域 总 部 站 点 ， 对 从 相应 区 域 到 这 些 站 点 的 鲁 棒 网 络 连接 形成 较 
高 的 依赖 。 这 个 架构 也 意味 着 DHCP 服务 器 硬件 是 足够 强大 的 ， 从 而 可 满足 性 能 和 容 
量 需 求 。 注 意 ， 通 常情 况 下 ，DHCP 主 服务 器 和 故障 切换 服务 器 应 该 部 署 在 不 同 的 物 
理 位 置 上 ， 以 便 具备 抑制 灾难 的 能 力 。 在 一 个 地 点 的 (线路 ) 中 断 将 不 会 中 断 一 个 
区 域 的 所 有 DHCP 服务 。 


7.3 ”分布 式 DHCP 服务 器 部 署 


在 部 署 连续 体 (continum) 的 男 一 端 ， 去 中 心 化 部 署 方法 如 图 7-2 所 示 。 在 这 个 
图 中 ,一 台 主 DHCP 服务 器 位 于 [附近 的 ] 每 个 分 支 办 事 处 和 配送 中 心 处 。 这 使 DH- 
CP 流量 局 部 化 ， 使 用 性 能 不 太 高 的 DHCP 服务 器 的 部 署 就 可 满足 需求 。 但 是 由 于 
DHCP 故障 切换 服务 器 的 存在 ， 就 仍然 具备 连通 到 区 域 总 部 的 网 络 能 力 。 这 些 服 务 需 
可 作为 区 域 服务 器 的 故障 切换 服务 器 ， 虽 然 出 于 负载 分 担 考虑 ， 每 个 区 域 要求 一 台 以 
上 的 服务 器 。 考 虑 到 负载 和 宛 余 能 力 ， 您 所 选中 的 DHCP 厂商 要 具备 针对 您 的 网 络 识 
别 确定 可 行 蔡 代 架构 的 能 
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图 7-2 IPAM 全 球 公 司 的 分 布 式 DHCP 服务 器 部 署 


比较 图 7-1 和 图 7-2 的 两 种 极端 情况 ， 前 者 要 求 较 少 的 、 但 更 加 强大 的 DHCP 服 
务 器 和 到 区 域 总 部 地 点 的 坚固 的 (rock solid) 网 络 连通 性 。 后 者 则 要 求 更 多 的 DHCP 
服务 器 ， 但 却 是 比较 中 等 〈modest) 性 能 规格 的 ， 以 一 种 网 络 可 达 的 共享 备份 方法 提 
供 局 部 化 的 服务 。 您 可 能 会 存在 疑问 的 是 ， 如 果 到 一 个 站 点 的 网 络 链 路 中 断 ， 那 么 从 
一 台 DHCP 服务 器 处 得 到 一 个 卫 地 址 有 什么 益处 呢 ? 在 没有 一 条 宛 余 链 路 的 情况 下 ， 
除了 提供 到 局 部 网 络 资源 的 IP 接 入 外 ， 它 确实 只 有 有 限 的 价值 。 但 在 中 心 化 的 架构 
中 ， 而 没有 分 布 式 站 点 时 ， 如 果 到 一 个 区 域 总 部 站 点 的 一 条 链 路 出 现 故 障 ， 那 么 要 求 
新 的 或 刷新 地 址 租 期 的 各 客户 端 将 极 可 能 变 得 一 无 用 处 。 这 和 总 是 常 有 的 事情 那样 ， 
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必须 考虑 折 中 处理 方法 ， 通 常 是 中 心 化 与 至 少 部 分 分 布 相 结合 的 一 种 混合 法 ， 常 常会 
使 总 体 中 断 风险 最 小 化 。 
虽然 ISC DHCP 服务 器 是 单一 线程 的 应 用 ， 但 对 于 多 数 环境 而 言 ， 其 性 能 通常 是 
足够 用 的 。 但 是 ， 如 果 您 有 数 千 台 DHCP 客户 端 尝试 在 大 约 同一 时 间 获 取 地 址 租赁 ， 
则 将 可 能 会 有 一 些 延 运 。 如 果 频 繁 地 出 现 这 种 情况 ， 则 您 可 能 想 考 虑 部 署 附加 的 服务 
器 ， 并 分 割 为 每 服务 器 所 服务 网 络 的 较 精细 粒度 ， 以 便 降低 每 服务 器 的 负载 。 同 样 ， 
通常 这 不 是 一 个 主要 担忧 的 问题 ， 除 非 您 是 一 个 服务 提供 商 ， 正 利用 DHCP 为 付 过 钱 
的 订户 初始 化 如 客户 端 调制 解 调 器 的 设备 ， 这 时 会 成 为 一 个 令 您 担 优 的 问题 。 在 从 一 
个 临近 区 域 的 电源 中 断 恢复 之 后 ， 各 设备 将 启动 恢复 ， 并 为 得 到 地 址 而 发 出 请 求 ， 这 
就 淹没 了 DHCP 服务 器 。 在 这 样 的 环境 中 ， 考 虑 使 用 一 台 商 用 的 面向 性 能 的 DHCP AR 
务 器 ， 也 许 是 有 道理 的 。 

通过 配置 您 的 DHCP 服务 器 〈 在 您 路 由 器 的 中 继 代理 列表 内 ) Hy IP 地址 ， 使 您 
的 服务 器 准备 好 支持 DHCP。 在 每 台 路 由 器 内 的 这 些 列表 ,使 路 由 器 可 终止 接收 到 的 
DHCPDISCOVER 报 文 广播 ， 之 后 作为 单 播报 文 ， 将 之 重 传 到 其 中 继 代理 列表 上 的 每 
台 配 置 过 的 DHCP 服务 器 IP 地 址 。 如 果 您 将 网 络 分 隔 开 ， 从 而 使 一 个 给 定 的 DHCP 
服务 器 服务 某 些 子 网 的 地 址 池 ， 而 其 他 子 网 的 地 址 池 由 另 一 台 DHCP 服务 器 服务 ， 要 
确信 您 相应 地 配置 服务 那些 子 网 的 路 由 器 。 您 可 向 所 有 路 由 器 添加 所 有 的 DHCP 服务 
器 ， 但 这 将 导致 不 必要 的 中 继 代 理 流量 ， 特 别 当 您 有 几 台 DACP 服务 器 时 尤其 如 此 。 
用 于 IPv6 网 络 的 DHCP 利用 周知 的 组 播 地 址 ， 这 消除 了 在 路 由 器 上 配置 中 继 代理 列 
表 的 需求 ， 虽 然 这 样 的 配置 也 可 在 中 继 代理 上 执行 ， 从 而 可 控制 哪些 DHCPv6 服务 器 
来 处 理 中 继 的 DHCP 事务 ， 而 不 仅 是 在 这 个 组 播 地 址 上 侦 听 的 任何 一 台 DHCPv6 服 
Pio 


7.4 ”服务 器 部 署 设计 考虑 


当 形 成 DHCP 服务 器 部 署 设计 时 ， 主 要 考虑 因素 包括 如 下 。 

1) 响应 时 间 要 求 。 您 的 客户 端 有 严格 的 响应 时 间 要 求 吗 ? 多 数 流行 的 客户 端 容 
忍 秒 级 的 响应 时 间 ， 但 某 些 应 用 要 求 可 能 比较 高 。 您 的 要 求 越 严 格 ， 则 服务 器 性 能 越 
重要 ， 也 许 客 户 端 邻近 性 就 越 重 要 。 

2) 负载 要 求 。 您 有 必须 处 理 的 某 些 负载 条 件 吗 ? 对 于 利用 DHCP 作为 一 种 顾客 
端 设 备 (CPE) 初始 化 技术 的 宽带 服务 提供 商 而 言 ， 在 从 驻地 电力 中 断 或 设备 安装 或 
重启 中 恢复 时 ， 可 能 发 生 负 载 尖 峰 (spike) 。 对 于 企业 环境 ， 如 果 几 名 同事 在 同一 时 
间或 几乎 同一 时 间 到 达 ， 这 样 的 尖峰 会 发 生 在 工作 日 的 开始 时 间 ， 虽 然 这 时 许多 设备 
将 简单 地 尝试 刷新 以 前 缺 省 使 用 的 一 个 IP 地 址 。 

3) 流量 预期 。 您 利用 短 的 租赁 时 间 来 最 小 化 监管 工作 吗 (这 会 导致 更 频繁 的 刷 
新 尝试 )? 一 般 而 言 ， 租 赁 时 间 (Tl 和 T2 时 间 ) 越 敌 ， 则 得 到 租赁 和 后 续 租 赁 刷新 
尝试 之 间 的 间隔 就 越 短 。 这 是 来 去 DHCP 服务 器 ( 可 能 是 多 台 ) 的 网 络 上 的 流量 增 
加 ， 当 就 前 面 提 到 的 响应 时 间 要 求 以 及 服务 器 数量 和 相关 联 带宽 的 负载 要 求 ， 进 行 设 


= 
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计时 ， 就 必须 考虑 流量 。 

4) 可 用 性 要 求 。 您 的 客户 端 事 实 上 不 得 不 通过 DHCP 24 x7 或 是 基于 “尽力 而 
为 ”服务 ,来 得 到 一 个 P 地 址 或 配置 吗 ? 大 部 分 人 将 回答 ， 高 可 用 性 是 至 关 重要 的 ， 
但 随 着 各 设备 变 得 逐渐 都 是 多 网 络 连接 的 情况 出 现 ， 只 要 一 个 网 络 的 地 址 指派 机 制 是 
可 用 的 ， 则 这 就 是 可 接受 的 ?。 平均 修 复 时 间 (MTTR) 是 满足 DHCP 服务 可 用 性 目 
标的 另 一 项 考虑 因素 。 在 本 地 有 一 台 备 用 的 服务 器 ， 会 缩短 MTTR， 同 时 不 得 不 定购 
一 台 替 代 设 备 ， 也 将 延迟 这 个 过 程 。 

上 面 的 前 三 个 考虑 因素 与 给 定 租赁 分 发 速率 的 足够 数量 服务 器 部 署 有 关 ， 甚 目的 
是 满足 相应 的 性 能 目标 。 一 个 好 的 起 点 是 ， 在 您 的 网 络 上 每 个 站 点 处 识别 出 期 望 的 
DHCP 客户 端 数量 。 这 个 数 应 该 统计 要 求 DHCP 服务 的 所 有 设备 ， 包 括 数据 设备 、 语 
音 设备 以 及 在 每 个 站 点 要 求 DHCP 服务 的 所 有 IP 设备 。 不 要 忘记 统计 用 户 和 设备 的 
“峰值 ”数量 ， 从 而 使 每 个 人 ， 甚 至 临时 访问 的 同事 ， 也 可 得 到 一 个 有 效 的 租赁 。 

在 统计 DHCP 客户 端的 峰值 数量 之 后 ， 考 虑 DHCP 事务 的 频率 。 这 将 取决 于 您 的 
租赁 时 间 和 客户 端 租赁 释放 配置 。 例如， 多 数 客户 端 将 “ 记 住 ”一 个 以 前 的 租赁 ， 
当 雇员 第 二 天 回 到 办 公 室 工作 时 ， 在 开机 时 尝试 请 求 该 租赁 ， 虽 然 情况 并 不 总 是 这 
样 的 。 

上 面 列 出 的 第 四 项 考虑 因素 与 为 DHCP 客户 端 提 供 高 可 用 性 的 DHCP 服务 有 关 。 
给 定 提供 高 可 用 DHCP 服务 的 一 般 重 要 性 后 ， 则 典型 情况 下 建议 为 高 可 用 性 而 实施 部 
署 。 一 旦 您 依据 性 能 要 求 ， 设 计 部 署 方案 后 ， 就 可 计划 总 的 或 有 选择 的 (selective) 
高 可 用 性 。 依 据 您 计划 部 署 的 服务 器 技术 ， 高 可 用 性 的 实施 (implementation ) 将 不 
仅 影响 所 需要 的 服务 器 数量 ， 而 且 可 能 影响 您 的 地 址 空间 规划 。 

ISC DHCP 实现 和 微软 DHCP 实现 利用 的 是 极其 不 同 的 方法 。ISC 服务 器 利用 一 个 故 
障 切换 协议 2 ， 从 而 对 于 一 个 给 定 的 地 址 池 ， 一 台 DHCP 服务 器 将 作为 主 服务 器 ， 而 第 二 
台 DHCP 服务 器 将 作为 备份 服务 器 或 故障 切换 服务 器 。 这 个 基本 配置 如 图 7-3 所 示 。 
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到 7-3 ISC DHCP 故障 切换 基本 配置 


外 ”当然 这 个 论断 假定 不 同 的 DHCP 服务 来 服务 这 些 不 同 的 接口 ， 也 许 情 况 不 是 这 样 。 
© ISC 实现 基于 IETF 的 REC 草案 规范 ， 这 些 草案 大 部 分 被 搁置 。 但 是 ，IETF 正在 尝试 重新 定义 
DHCP 故障 切换 协议 ，ISC 计划 实现 新 的 版 本 ， 同 时 也 支持 当前 基于 RFC 草案 的 实现 。 
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每 个 中 继 代 理 必 须 配置 成 将 接收 到 的 DHCP [对 于 1IPv4] 广播 报 文 ， 单 播 到 主 
DHCP 服务 器 和 故障 切换 DHCP 服务 器 ， 在 图 7-3 中 是 172. 20. 10.1 和 172. 24. 10. 1 。 
回顾 一 下 ，DHCPvw6 中 继 代理 将 类 似 地 (likewise) 被 配置 DHCPv6 服务 器 地 址 ， 或 利 
用 一 个 周知 的 站 点 范围 组 播 地 址 FF05:: 1: 3。DHCP 服务 器 利用 一 个 故障 切换 协议 ， 
从 而 可 使 主 服 务 器 发 送 心跳 消息 和 租赁 绑 定 信息 给 故障 切换 服务 器 。 故 障 切 换 服 务 器 
利用 用 户 可 设置 的 参数 ,来 确定 主 服务 器 下 线 了 ， 并 开始 处 理 来 自 中 继 代理 (可 能 
EZE) 的 单 播 DHCP 报 文 。 因 此 ,不管 主 服 务 器 下 线 的 事实 ， 各 客户 端 仍然 能 够 继 
续 接 收 IP 地 址 和 参数 指派 。 一 旦 恢复 ， 主 服务 器 从 故障 切换 服务 器 得 到 当前 的 租赁 
数据 库 ， 之 后 再 次 将 其 角色 设置 为 主 服 务 器 。 

微软 的 方法 并 不 利用 一 种 像 DHCP 故障 切换 的 服务 器 间 协 议 。 相 反 ， 通 过 部 署 
具有 互补 地 址 池 (不 是 相同 的 地 址 池 ) 的 两 台 DHCP 服务 器 ， 在 不 用 担心 重复 指 
派 的 情况 下 ， 任 何 一 台 服 务 器 均 可 处 理 DHCP 事务 。 微 软 建议 使 用 “80-20 规则 ”， 
在 一 台 “ 本 地 ”服务 器 上 配置 地 址 池 的 80% ， 在 一 台 “ 远 端 ” 服 务 器 上 配置 地 址 
池 的 20% 。 采 取 这 种 方式 ， 假 定 客户 端 将 首先 从 本 地 服务 器 接收 到 地 址 提供 ， 并 
接受 该 地 址 ， 这 种 情况 下 ， 多 数 DHCP 事务 将 被 本 地 服务 器 所 处 理 。 在 图 7-4 中 形 
象 地 说 明了 这 种 配置 ， 其 中 我 们 使 用 80/20 指导 原则 将 172. 20. 0. 10 ~ 200 地 址 池 
进行 了 分 割 。 
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图 7-4 “分 割 范围 的 配置 场景 


就 像 图 7-3 中 的 ISC 故障 切换 配置 一 样 ， 每 个 中 继 代理 都 需要 配置 本 地 和 远 端 微 
软 DHCP 服务 器 的 地 址 。 对 于 有 关 的 子 网 172. 20. 0. 0， 每 台 DHCP 服务 器 都 配置 一 个 
地 址 池 ， 但 地 址 范围 是 不 重 芭 的。 在 这 个 范例 中 ， 我 们 为 成 对 的 微软 DHCP 服务 器 ， 
使 用 与 图 7-3 中 ISC 范例 所 用 同样 的 总 地 址 池 大 小 。 因 为 两 台 服 务 器 都 需要 满足 容量 
需求 ， 所 以 如 果 一 台 服 务 器 失效 时 ， 您 就 将 面临 不 能 满足 卫 地 址 需求 的 局 面 。 另 一 
种 替代 方法 是 以 所 要 求 本 地 容量 的 100% 配置 该 本 地 DHCP 服务 器 ， 并 允许 额外 地 址 
游 出 到 远 端 服务 器 ， 进 行 备份 。 采 取 这 种 方式 ， 本 地 服务 器 可 处 理 100% 的 容量 ， 且 
当 本 地 服务 器 不 可 用 时 ， 远 端 服务 器 可 协助 处 理 一 定 比例 的 那些 额外 客户 端 。 人 参见 图 
7-4， 本 地 服务 器 可 配置 有 地 址 池 172.20.0.10 ~ 200， 远 端 服务 器 配置 有 
172. 20. 0. 201 ~254。 这 个 额外 的 容量 范围 可 高 达 100% 的 所 需 容量 ， 从 而 在 将 所 需 地 
址 空间 翻 倍 的 代价 下 提供 100% 的 宛 余 。 虽 然 是 由 微软 公司 普及 推广 的 ， 但 分 割地 址 
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范围 的 方法 可 用 于 各 厂家 的 DHCP 服务 器 。 

从 安全 角度 而 言 ，DHCP 认证 的 实现 没有 被 广泛 地 商业 化 。 因 此 ， 对 于 确保 DH- 
CP 事务 本 身 的 安全 而 言 ， 几 乎 不 存在 可 行 的 安全 措施 。 对 于 企业 网 络 而 言 ， 这 也 许 
不 是 主要 担忧 的 问题 ， 其 中 提供 DACP 用 于 内 部 用 途 ， 但 如 果 在 不 知情 的 情况 下 在 其 
机 器 上 启动 一 项 DHCP 服务 时 ， 这 可 能 就 是 有 问题 的 了 。 也 许多 数 用 户 不 会 安装 一 个 
DHCP 服务 器 ， 但 那些 具有 ( 自 感 知 (self-perceived) ) IT 专业 知识 的 人 就 可 能 安装 
SOREN DHCP 服务 器 。 

对 于 使 用 DHCP 来 初始 化 顾客 端 (customer) 设备 的 服务 提供 商 网络 而 言 ， 服 务 
提供 商 网 关 或 边缘 设备 的 使 用 ， 可 提供 地 址 指派 的 DHCP 客户 端 有 效 性 的 某 些 保障 。 
将 DHCP $424 (tying) 到 配置 准备 过 程 ， 可 帮助 将 一 个 DHCP 客户 端 与 一 个 支付 过 
(paying) 的 订户 标识 符 相 关 ， 从 而 使 服务 的 被 盗窃 使 用 可 能 性 最 小 化 。 

DHCP 本 身 可 被 当做 “安全 ”网 络 访问 的 一 种 方法 ， 措 施 是 确定 一 个 给 定 DHCP 
客户 端 是 否 满足 被 网 络 接纳 的 可 接受 准则 ， 这 是 就 服务 器 的 IP 地 址 指派 而 言 的 。 这 
提供 了 网 络 访问 控制 的 一 种 形式 ， 虽 然 它 并 不 能 防止 IP 地 址 伪造 者 的 行为 。 在 下 一 
章 将 讨论 访问 控制 安全 的 DHCP 配置 。 


7.5 在 边缘 设备 上 部 署 DHCP 


多 数 路 由 器 厂商 是 将 一 项 DHCP 服务 作为 其 路 由 器 平台 的 一 个 组 件 提供 的 。 这 
AY REE AMT BE, MA T XIF DHCP 服务 ， 是 否 需 要 一 个 独立 的 服务 器 。 就 多 数 设 
计 问 题 而 言 ， 答 案 是 “要 看 情况 而 定 ”。 有 数 个 站 点 的 小 型 环境 ， 它 有 本 地 服务 需 
服务 100 个 左右 的 不 可 分 的 (monolithic) 客户 端 ， 每 个 客户 端 均 可 由 配置 路 由 器 
提供 DACP 服务 ， 而 得 到 地 址 服务 。 但 是 ， 较 大 型 的 组 织 机 构 或 那些 要 求 更 高 级 
DHCP 服务 的 企业 ， 为 了 区 分 语音 和 数据 客户 端 ， 以 便 进 行 地 址 和 选项 参数 指派 ， 
这 时 部 署 分 离 的 〈 没 有 集成 在 路 由 器 内 ) DHCP 服务 器 ， 这 些 客户 端 将 得 到 更 好 的 
服务 。 

在 一 台 路 由 器 设备 上 运行 DHCP 的 优势 包括 如 下 方面 。 

1) 较 低 的 硬件 成 本 。 不 需要 采购 一 台 服 务 器 或 一 组 服务 器 。 

2) 单一 用 户 界面 。 同 一 命令 行 界面 可 被 用 来 配置 路 由 器 和 DHCP 服务 器 ， 不 需 
要 中 继 代 理 配 置 。 

3)“ 较 少 的 移动 部 件 ”。 为 执行 DHCP 功能 ， 要 求 的 通信 和 链 路 和 服务 器 都 要 少 一 
条 链 路 和 一 台 服 务 器 ， 一 般 来 说 ， 这 可 增加 整体 解决 方案 的 可 靠 性 。 

在 一 台 路 由 器 上 运行 DHCP 的 主要 劣势 如 下 。 

1) 选项 支持 。 多 数 基 于 路 由 器 的 DHCP 服务 器 是 原始 的 ， 它 支持 地 址 指派 ， 但 
在 选项 支持 方面 几乎 没有 。 

2) 客户 端 类 文 持 。 主 要 厂商 不 文 持 客 户 端 类 ， 而 这 对 于 区 分 将 地 址 /选项 指派 
到 不 同 设备 〈 例 如 VoIP 设备 和 数据 设备 ) 来 说 ， 是 必需 的 。 

3) 没有 故障 切换 。 如 果 一 台 路 由 器 失效 ， 则 您 在 任何 情况 下 都 可 能 丢失 连接 能 


106 IP 地 址 管理 原理 与 实践 


力 ， 但 如 果 出 于 宛 余 性 考虑 ， 有 两 台 路 由 器 服务 一 个 子 网 ， 则 必须 采用 一 种 分 割地 址 


范围 的 方法 ， 这 就 增加 了 管理 复杂 性 
4) 没有 中 心 化 的 管理 。 基 于 路 


Lo 


由 器 的 DHCP 服务 ， 是 通过 命令 行 配置 的 ， 除 非 


采用 一 个 中 心 化 的 工具 ， 否 则 就 IP 寻 址 规划 而 言 ， 就 必须 手工 地 配置 每 台 DHCP 服 


Firs 如 果 使 用 多 个 路 由 需 三 家 的 产品 ， 则 不 太 可 能 存在 这 方面 的 技术 支 持 。 
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安全 位 于 每 个 规划 人 员 网 络 担忧 问题 列表 的 首位 或 接近 首位 之 处 。IP 地 址 管 
理 有 关 的 安全 话题 也 不 例外 。DHCP 信息 方面 存在 许多 安全 威胁 ， 在 与 那些 请 求 的 信 
息 通信 中 也 同样 存在 安全 威胁 。 另 外 ， 考 虑 为 接 人 到 网 络 而 分 发 下 地址 过 程 中 DHCP 
所 扮演 的 角色 ， 就 其 固有 的 功能 来 说 ，DHCP 服务 自身 在 提供 网 络 接 入 控制 (NAC ) 
的 一 个 基本 层次 中 扮演 了 一 种 关键 角色 。 您 将 配置 DHCP， 使 之 向 任何 请 求 一 个 地 址 
的 设备 提供 一 个 P 地 址 吗 ? 抑 或 您 将 配置 一 种 更 有 区 分 能 力 (discriminating) 的 策 
略 ? 本 章 将 首先 深入 探究 网 络 接 入 控制 领域 ,讨论 部 署 审慎 精细 地 址 指派 策略 的 通用 
战略 原则 。 之 后 我 们 将 讨论 DHCP 信息 和 通信 安全 的 战术 方法 。 


8.1 网 络 接 入 控制 


NAC 这 个 术语 是 最 近 几 年 才 流 行 起 来 的 ,但 其 蕴 售 的 概念 是 本 质 上 的 : 在 提供 
这 样 的 接 入 访问 之 前 ,识别 是 谁 正在 尝试 接 入 到 您 的 网 络 。 就 提供 各 种 层次 的 接 入 控 
制 能 力 而 言 ， 存 在 各 种 技术 。 我 们 将 首先 开始 分 析 基 于 DHCP 的 接 入 控制， 必须 承认 
(admittedly) 的 是 ， 它 是 NAC 中 较 脆弱 的 方法 。 之 后 我 们 将 谈 到 更 广泛 可 用 的 
(wide-reaching) 技术 。 


8.1.1 采用 DHCP 的 区 分 性 地 址 指派 


让 我 们 首先 将 焦点 放 在 DHCP 服务 以 及 实现 区 分 性 地 址 指派 的 一 些 方法 上 。 存 在 多 
数 DHCP 解决 方案 都 提供 的 几 个 层次 的 策略 或 控制 ， 用 于 区 分 是 “ 谁 正在 请 求 ” 一 个 
IP 地 址 (通过 DHCP)。 第 一 种 方法 是 简单 地 依据 客户 端 标 识 符 的 一 个 可 用 形式 (例如 
请 求 一 个 卫 地 址 之 客户 端的 MAC 地 址 ) 来 过 滤 请 求 。 回 顾 一 下 ，MAC 地 址 是 在 一 条 
DHCPv4 报 文 的 客户 端 硬件 地 址 (chaddr) 字段 中 找到 的 。DHCPv6 设备 标识 符 由 设备 
唯一 ID (DUID) 和 身份 关联 (IA) 组 成 ， 这 两 者 分 别 识别 每 个 客户 端 和 接口 。 

如 果 DHCP 服务 器 有 可 接受 (和 /或 不 可 接受 ) 设备 标识 符 的 一 个 列表 ， 则 它 可 
如 此 配置 ， 即 向 拥有 一 个 可 接受 标识 符 的 那些 客户 端 提供 某 个 IP 地 址 和 相关 联 的 参 
数 ， 不 向 那些 没有 一 个 可 接受 设备 标识 符 的 客户 端 提供 IP 地 址 ， 或 仅 提供 有 限 功 能 
的 全 地 址 。 使 用 “有 限 功 能 的 IP 地 址 ”说 法 ,我 们 指 预先 配置 网 络 路 由 基础 设施 ， 
使 之 路 由 的 卫 报 文具 有 仅 到 某 些 网 络 的 源 P 地址 (例如 仅 到 因特网 ， 或 其 至 哪里 也 
去 不 了 ) 。 例 如 ， 带 有 源 地 址 A 的 一 条 卫 报 文 在 企业 网 上 是 可 路 由 的 ， 而 带 有 源 地 址 
B 的 一 条 IP 报 文 仅 可 路 由 到 因特网 。 


”本 章 中 的 材料 依据 的 是 参考 文献 [11] 第 9 章 
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如 我 们 在 第 4 章 讨 论 的， 通过 在 请 求 一 个 卫 地 址 的 设备 的 客户 端 类 上 实施 过 滤 ， 
也 可 得 到 这 种 类 型 的 IP 地 址 和 配置 指派 。 某 些 客 户 端 ， 例 如 VoIP 电话 ， 当 请 求 一 个 
IP 地 址 时 ， 在 DHCP 报 文 的 厂商 类 标识 符 字段 提供 有 关 自 己 的 额外 信息 。 也 可 使 用 用 
户 类 标识 符 字 段 。DHCP 服务 器 可 被 配置 成 识别 网 络 上 设备 的 用 户 类 和 /或 厂商 类 ， 以 
便当 设备 请 求 IP 地 址 和 配置 参数 时 ， 向 DACP 服务 器 提供 额外 信息 。 可 从 某 个 地 址 池 
指派 地 址 ， 同 时 可 通过 标准 的 或 厂商 特定 的 DACP 选项 向 客户 端 指派 附加 的 配置 参数 。 

通过 对 请 求 一 个 卫 地 址 的 机 器 的 用 户 进行 认证 ， 则 男 一 种 层次 的 区 分 IP 地 址 指 
派 也 是 可 能 的 。 这 项 功能 可 与 前 面 描述 的 设备 标识 符 和 客户 端 类 区 别 指 派 法 一 起 使 
用 。 例 如 ， 如 果 带 有 一 个 未 知 的 或 不 可 接受 的 设备 标识 符 的 一 个 客户 端 ， 尝 试 得 到 
个 IP 地址 ,一 种 操作 选项 是 完全 地 拒绝 一 个 地 址 ; 男 一 种 操作 选项 是 要 求 该 客户 端 
的 用 户 通 过 一 个 安全 的 访问 万 维 网 门户 页 面 进行 登陆 。 

对 于 您 所 在 网 络 的 合法 用 户 而 言 ， 这 使 其 比较 容易 地 捕获 新 的 设备 标识 符 〈 即 
有 时 插入 新 的 接口 卡 的 那些 用 户 ) 。 从 perl 脚本 (例如 NetReg (90) ) 到 复杂 的 集成 
软件 解决 方案 的 各 种 方案 都 是 存在 的 ， 可 用 来 将 这 样 的 用 户 定向 到 一 个 登录 /口令 请 
求 网 页 。 之 后 ， 对 存 有 合法 用 户 信息 的 一 个 数据 库 的 一 条 简单 查询 ， 可 允许 (或 拒 
绝 ) 客户 端 访问 一 个 生产 (production) IP 地 址 。 这 些 系统 典型 地 与 图 8-1 所 示 的 报 
文 流 是 一 致 的 。 


DHCP 认证 门户 my 
è Web | 是 认证 数据 库 
= aa Bis | RAS 
an -| 已 知 用 户 /设备 ? 
提供 带 围 墙 的 IP(X) 否 -> 认证 
请 求 J 
z 确认 
解析 并 路 由 到 认证 门户 Web 服 务 器 
Le 使 用 用 户 id, 口 令 请 求 登陆 n 
m) 认证 输入 
认证 过 的 ria pes 
OK 用 户 :设备 [e AMRNI | 的 机 密 信 息 
租赁 刷新 
Le 否认 
发 现 L 
提供 生产 IP(Y) 
请 求 E 
B 确认 


8-1 基本 DHCP 受 控 门 户 流 图 5 


按照 这 个 流 图 的 顺序 ， 流 程 开始 时 ， 是 一 个 设备 连接 到 网 络 ， 尝 试 通过 DHCP 得 
到 一 个 耳 地 址 。DHCP 服务 器 ， 利 用 上 面 讨 论 的 设备 标识 符 或 客户 端 类 -类 型 过 滤 法 ， 


O 给 出 了 DHCPv4 的 过 程 ， 而 DHCPv6 可 利 个 相当 的 报 文 流 。 
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确定 该 设备 是 否 为 一 个 已 知 的 用 户 设备 ?。 如 果 该 设备 是 已 知 的 或 以 其 他 方式 已 经 被 
认证 过 ， 那 么 DACP 过 程 可 继续 给 出 一 个 生产 IP 地 址 的 一 条 提供 报 文 (Offer) ， 接 着 
后 跟 一 条 请 求 和 一 条 确认 。 但 是 ， 如 果 该 设备 是 未 知 的 ， 或 要 求 进行 认证 ， 则 通过 完 
成 DORA 过 程 ，DHCP 服务 器 可 仍然 提供 A IP Hott; 但 在 这 种 情形 中 指派 的 卫 地 
址 将 是 一 个 受 限 门 户 、 带 围墙 的 花园 ， 或 隔离 的 IP 地 址 。 

这 些 术语 指 如 下 事实 ， 即 指派 给 客户 端的 卫 地 址 将 仅 可 被 路 由 到 有 认证 web 服 
务 器 和 相关 联 服务 运行 的 子 网 或 VLAN。 这 个 隔离 的 VLAN 支持 卫 通 信 ， 但 也 仅 可 到 
达 设 备 的 这 个 受 约束 的 集合 。 这 将 设备 封锁 起 来 ， 使 之 不 能 渗透 网 络 的 其 他 部 分 ， 直 
到 对 应 的 用 户 被 认证 后 才 解 除 封锁 。 路 由 基础 设施 必须 如 下 配置 ， 将 带 有 隔离 地 址 池 
的 一 个 源 地 址 的 报 文 路 由 到 被 隔离 的 VLAN， 同 时 (或 ) 客户 端 必须 以 无 类 静态 路 由 
选项 加 以 配置 。 因 此 ， 如 图 8-1 所 示 的 地 址 X 是 被 隔离 VLAN 的 一 个 成 员 ， 在 该 
VLAN 上 仅 有 有 限 的 网 络 资源 可 以 使 用 。 图 8-2 形象 地 展示 了 这 种 受 约束 门户 配置 的 


一 个 范例 网 络 拓扑 。 
应 用 生产 文件 服务 器 
服务 器 DNS 服务 器 
(ne SVAN 2 ay 
ge SLAM 


172.16.2.0/24 


认证 门户 


Peet a Qo oo 


oo 


9 G 
服务 器 DNS 服务 器 


172.16.0.0/24 


ĝ 用 户 笔 记 本 
计算 机 


图 8-2 受 限 的 门户 网 络 图 [1 
现在 ， 当 用 户 打 开 一 个 网 络 浏览 器 时 ， 他 /她 可 输入 任何 网 址 。 在 被 隔离 的 
VLAN 上 要 求 有 一 台 受 限 的 配置 DNS 服务 器 ,“ 受 限 ” 的 含义 指 它 将 任何 请 求 及 每 条 
请 求 都 解析 到 认证 网 页 服务 咒 的 IP 地址。 因此 ， 不管 输入 到 网 页 浏览 器 的 是 什么 网 
址 ， 网 址 都 被 受 限 的 门户 万 维 网 服务 器 所 解析 。 认 证 万 维 网 服务 絮 给 出 登录 页 面 。 如 
出 外 旅行 ， 使 用 一 家 旅馆 e 则 您 可 能 看 到 过 类 似 于 此 的 情 
况 。 一 旦 输入 被 请 求 的 机 密 信息 (对 于 一 个 企业 环境 而 言 ， 这 典型 地 将 由 一 个 用 户 
ID 和 一 个 口令 组 成 )， 则 网 页 会 调用 一 一 个 CGI 脚本 ， 将 输入 的 机 密 信息 传递 到 一 个 后 
台数 据 库 。 这 个 认证 数据 库 可 能 是 一 台 LDAP 服务 器 、 一 个 Windows 域 控制 器 、 一 
Radius 服务 器 或 其 他 形式 的 认证 数据 库 。 
依据 认证 的 结果 ， 之 后 发 出 请 求 的 设备 将 认为 是 授权 的 或 没有 授权 的 ， 如 果 被 授 


O ”在 一 些 情形 中 ， 甚 至 已 知 的 用 户 设备 也 可 请 求 周期 性 的 再 次 认证 ， 以 此 作为 一 项 安全 预防 措施 。 
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权 ， 则 可 选 地 会 授予 何 种 类 型 的 授权 。 相 比 于 一 种 简单 的 布尔 型 “被 授权 或 没有 授 
权 ” 法 ,授权 类 提供 了 更 细 的 粒度 ， 其 中 不 同 的 被 授权 用 户 可 被 指派 一 个 不 同 的 生 
产 了 PP 地址， 这 顺 次 可 提供 到 不 同 网 络 资源 的 访问 能 力 。 例 如 ， 基 本 层次 的 用 户 可 被 
授予 访问 一 个 基本 的 资源 集合 ， 而 高 级 层次 的 用 户 可 被 授予 访问 其 他 资源 (例如 本 
资源 ) 。 同 样 ， 这 要 求 路 由 拓扑 配置 有 多 个 源 路 由 段 或 VLAN 段 ， 就 与 服务 层次 相关 
联 的 地 址 池 而 言 ， 将 这 些 网 络 和 相应 的 路 由 规划 映射 到 DACP 服务 需 配 置 。 

指派 生产 IP 地 址 的 方式 ， 遵 循 被 隔离 IP 地 址 的 超期 或 刷新 拒绝 的 方式 (过 程 ) 。 
一 般 而 言 ， 被 隔离 IP 地 址 租赁 时 间 被 配置 为 一 个 短 的 租赁 时 间 (1 ~5min)。 这 促使 
设备 快速 地 尝试 刷新 。 如 果 该 设备 仍然 处 在 认证 的 过 程 之 中 ， 则 它 的 刷新 尝试 将 被 确 
认 (ACK)， 这 就 延长 了 租赁 时 间 。 一旦 成 功 地 完成 认证 ,认证 系统 就 更 新 DHCP 服 
务 器 ， 将 客户 端 MAC 地 址 添加 到 “已 知 的 ”或 “允许 的 ”地 址 池 。 之 后 对 被 隔离 地 
址 的 刷新 尝试 将 被 否定 (NAK)， 这 就 激活 了 一 个 新 的 DORA 过 程 ， 从 而 提供 一 个 
“生产 ”IP 地址 (图 8-1 中 的 地 址 Y) 。 如 果 设 备 不 能 通过 认证 ， 则 刷新 会 被 否定 确 
认 ， 后 续 地 址 尝试 会 被 拒绝 ; 另外 ， 为 了 仅 提 供 被 隔离 网 络 上 资源 (如果 这 是 所 期 
望 的 话 ) 的 访问 ， 则 被 隔离 地 址 的 刷新 尝试 将 被 认可 。 

除了 基于 设备 标识 符 、 客 户 端 类 和 用 户 认 证 等 的 这 些 设备 和 用 户 识别 措施 外 ， 这 
个 通用 的 流程 也 可 提供 有 关 请 求 IP 地 址 的 这 人 台 机 器 的 其 他 有 效 性 验证 。DHCP 过 程 
可 被 用 来 触发 一 个 外 部 安全 扫描 系统 (如 Nessus) ， 或 另 一 个 第 三 方 应 用 来 对 发 出 请 
求 的 客户 端 进行 病毒 扫描 ， 或 验证 使 用 了 可 被 接受 的 病毒 防护 软件 。 这 个 设备 扫描 步 
骤 可 被 单独 使 用 ,或 与 设备 识别 措施 一 起 使 用 ， 从 而 可 提供 通过 (采用) DHCP 的 一 
个 鲁 棒 的 访问 安全 解决 方案 。 

基于 DHCP 的 安全 访问 的 一 个 范例 网 络 配置 如 图 8-2 所 示 。 图 中 所 示 的 DHCP 服 
务 右 将 配置 有 许多 客户 端 类 集合 。 我 们 所 称 的 客户 端 类 ， 是 指 DHCP 报 文中 的 匹配 准 
则 ， 将 其 链接 到 已 映射 到 相关 联 的 网 络 可 访问 能 力 的 客户 端 类 集合 。 例 如 ， 在 我 们 的 
范例 中 ， 至 少 对 于 如 下 所 示 中 的 每 种 情况 ， 我 们 都 将 需要 一 个 客户 端 类 集合 。 

1) 受 限 的 门户 网 络 〈 补 救 用 途 (remediation) 的 VLAN) 。 

2) 生产 网 络 1。 

3) 生产 网 络 2。 

将 这 些 客户 端 类 集合 想象 为 各 客户 端 要 被 放 和 的 桶 (bins) ， 这 种 做 法 依据 的 是 
将 客户 端的 认证 状态 与 设备 的 客户 端 类 联系 起 来 。 因 此 ， 当 客户 端 类 成 员 出 现在 网 络 
上 且 用 户 进行 认证 时 ， 客 户 端 类 成 员 将 被 DACP 服务 器 分 类 ， 依 据 的 是 定义 好 的 客户 
端 类 。 通 常 来 说 ， 这 些 客户 端 类 将 映射 到 DHCP 服务 器 上 的 地 址 池 定 义 ， 如 后 面 的 简 
单 范例 ISC 服务 器 配置 所 示 ”! 。 注 意 ， 可 为 每 个 地 址 池 定 义 额 外 的 选项 ， 以 便 向 落 
和 人 每 个 集合 或 地 址 池 的 客户 端 提 供 额 外 的 配置 粒度 。 
subnet 172. 16. 0. 0 netmask 255. 255. 252.0 | 
# subnet level options here... / * 下 面 是 子 网 层次 的 选项 * / 

pool | #captive portal pool/ * 受 限 制 的 门户 

地 址 池 */ 
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range 172. 16.0. 10 172. 16. 0. 254; 


option domain-name- servers 172. 16.0.5; 
default-lease-time 150; 


allow unknown clients ; 


pool | 
range 172. 16. 1. 10 172. 16. 1. 254; 
option domain- name- servers 
8. 1 NETWORK ACCESS CONTROL 131 
172. 16.1.5; 
default- lease- time 14400 ; 
deny unknown clients; 
allow members of "net1"; 
pool | 
range 172. 16. 2. 10 172. 16. 2. 254; 
option domain- name- servers 
172. 16.2.5; 
default- lease- time 14400; 


deny unknown clients ; 


allow members of "net2"; 


#limited config DNS server/ * 受 限 的 
配置 DNS 服务 器 */ 

#short lease time/ * 短 的 租赁 时 间 * / 
#clients not predefined. / * 没有 预先 
定义 的 客户 端 */ 


#Prod Net 1 


#production DNS server/ * 生产 DNS 
服务 器 */ 

#normal lease time/ * 正常 的 租赁 时 
DEZ 

#clients must be predefined. / * 客户 
端 必须 被 预先 定义 * / 

#client class netl allowed/ * 客户 端 类 


netl 被 允许 */ 


#Prod Net 2 


#production DNS server/ * 生产 DNS 
服务 器 */ 

#normal lease time/ * 正常 的 租赁 时 
DEZ 

#clients must be predefined. / * 客户 
端 必须 被 预先 定义 */ 

#client class net2 allowed/ * 客户 端 类 


net2 被 允许 */ 


依据 认证 过 程 的 结果 ,认证 服务 器 必须 能 够 更 新 DHCP 配置 ， 以 便 将 客户 端 放 人 
合适 的 容器 或 类 。 因 此 ， 如 果 设 备 被 成 功 地 认证 可 访问 生产 网 络 2， 则 认证 门户 需要 
将 特定 设备 的 客户 端 类 值 (例如 MAC 地 址 ) 添加 到 生产 网 络 2 的 客户 端 类 组 (在 上 
述 范例 中 是 “net2” 类 ) 。 例 如 这 项 更 新 可 使 用 ISC DHCP 服务 器 OMAPI 界面 ( 要求 
版 本 3. 1 或 以 上 版 本 ) 加 以 实施 。 这 个 客户 端 类 声明 可 在 DHCP 服务 器 上 定义 特定 于 


112 IP 地 址 管理 原理 与 实践 


类 的 选项 ， 以 便 向 客户 端 提供 (例如) BRUISE, DNS 服务 器 ， 还 有 任何 其 他 选项 。 

受 限 的 门户 VLAN 可 能 仅 由 “未 知客 户 端 ”组 成 ， 它 是 可 采用 ISC DHCP 服务 器 
配置 的 一 个 符号 指派 。 受 限 的 门户 网 络 (补救 VLAN) 得 以 部 署 ， 包括 受 限 的 配置 
DNS 服务 器 ， 作 为 认证 门户 的 web 服务 器 ， 可 访问 一 个 认证 数据 库 ， 可 选 的 还 有 一 台 
安全 扫描 服务 器 以 及 任何 其 他 必 备 的 预 访问 (preaccess) 服务 。 

为 得 到 高 可 用 性 和 /或 扩展 到 较 大 型 的 网 络 ， 可 部 署 一 台 以 上 的 DHCP 服务 器 。 
这 种 方法 确实 使 事情 有 点 复杂 ， 原因 是 在 两 台 服 务 器 上 的 DHCP 服务 器 配置 需要 做 到 
一 致 ， 以 便 路 由 未 知 的 客户 端 或 要 求 到 受 限 门户 网 络 进行 认证 的 客户 端 。 


8.2 其 他 接 入 控制 方法 


您 可 能 认为 ， 对 于 利用 DHCP 的 客户 端 而 言 ， 基 于 DHCP 的 方法 还 是 不 错 的 ; 但 
对 于 可 猜测 到 子 网 地 址 ， 之 后 在 其 机 器 上 人 工 编码 (配置 ) 一 个 静态 IP 地 址 来 访问 
网 络 的 那些 “ 狭 猎 的 用 户 ”， 该 怎么 办 呢 ? 从 一 个 安全 访问 的 角度 而 言 ， 这 些 狭 猫 的 
用 户 毕 竟 是 人 们 最 担忧 的 那些 用 户 。 另 外 ， 对 于 使 用 IPv6 无 状态 自动 配置 的 设备 而 
言 ， 地 址 指派 是 不 要 求 DHCP 交互 的 。 

对 于 在 不 依赖 基于 DHCP 方法 的 条 件 下 ， 要 激活 设备 的 检测 和 相关 联 的 补救 动作 ， 有 
三 种 基本 的 替代 方法 。 在 下 一 节 我 们 将 讨论 领先 的 网 络 (networking) 厂商 NAC 方法 。 

1) DHCP LeaseQuery (租赁 查询 ) 。 

2) 层 2 交换 机 提醒 (alerting) 。 

3) 802. 1X。 


8.2.1 DHCP LeaseQuery 


如 果 在 一 个 子 网 上 的 多 数 地 址 或 所 有 地 址 都 是 依据 策略 使 用 DHCP 加 以 配置 的 ， 
即 每 个 卫 地 址 应 该 有 一 个 对 应 的 DHCP 租赁 ， 那 么 可 使 用 LeaseQuery 方法 。DHCP 
LeaseQuery 是 一 条 DHCP 协议 消息 ， 它 使 一 台 边 缘 路 由 器 就 一 个 特定 设备 或 一 组 设备 
的 租赁 状态 ,来 查询 DHCP 服务 器 。 这 提供 了 某 种 担保 ， 即 尝试 通过 路 由 器 进 行 通信 
的 一 台 设 备 没 有 伪造 一 个 地 址 ， 该 地 址 应 该 是 通过 DHCP 服务 需 进 行 指派 的 。 

当 路 由 器 从 一 个 特定 MAC 地 址 在 一 个 层 2 WA (比如) 接收 到 P 流量 时 ， 它 可 
向 其 配置 好 的 DHCP 服务 器 〈( 即 其 角色 为 中 继 代理 ) 发 出 一 条 DHCP LeaseQuery 消 
息 。 如 果 一 台 DHCP 服务 器 以 前 向 客户 端 提供 过 一 次 地 址 租赁 ， 则 它 将 向 路 由 器 做 出 
响应 ， 且 路 由 器 将 打开 绿灯 ， 并 路 由 该 设备 的 报 文 。 路 由 器 也 可 缓存 这 个 信息 ， 从 而 
使 LeaseQuery 速率 不 会 太 高 。 当 然 ， 仅 当 在 一 个 子 网 上 的 所 有 客户 端 使 用 DHCP 时 
(比如 在 宽带 接 人 网 中 的 情况 ) ， 而 不 是 当 其 他 静态 编 址 的 设备 在 该 子 网 上 进行 通信 
时 ， 才 可 实施 这 种 形式 的 访问 控制 。 


8.2.2 层 2 交换 机 提醒 
另 一 种 方法 利用 支持 (使 能 ) SNMP 的 交换 机 ， 在 其 端口 之 一 上 遇 到 一 条 链 路 连 
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通 事件 时 ， 发 出 一 条 SNMP 陷阱 ， 并 接受 端口 级 别 的 VLAN 配置 。 这 项 提醒 能 力 ， 与 
SNMP 可 写 配置 信息 一 起 ， 可 支持 类 似 网 守 (gatekeepr-like) 的 功能 ,方法 是 动态 地 
识别 尝试 访问 网 络 的 设备 ， 并 配置 交换 机 ， 从 而 将 端口 配置 到 一 个 特定 的 VLAN 。 为 
了 处 理 陷 阱 ， 将 需要 一 个 第 三 方 的 系统 或 产品 ， 在 合适 的 VLAN 指派 上 做 出 决策 ， 并 
相应 地 配置 交换 机 。 

让 我 们 看 看 这 是 如 何 工作 的 。 如 果 我 们 从 开始 起 考虑 连接 到 一 个 网 络 的 一 台 设 备 
的 过 程 ， 则 该 设备 首先 从 层 1 在 网 络 上 “启动 ”(boots up)。 因 此 ， 首 先 达到 的 是 物 
理 层 /电气 连通 性 ; 之 后 数据 链 路 层 初始 化 ， 在 此 时 发 生 层 2 帧 同步 。 接 着 跟随 的 是 
层 3， 发 出 一 条 DHCP 报 文 (比如 )， 或 者 如 果 在 层 3 配置 了 一 个 静态 地 址 的 话 ， 则 
直接 发 出 IP 报 文 。 当 数据 链 路 层 初始 化 (在 层 3 之 前 ) IN, 设备 所 连接 的 交换 机 将 
被 认为 是 “线路 通 了 ”， 并 发 出 一 条 隐 阱 消息 。 因 为 该 陷阱 是 在 层 3 初始 化 之 前 发 出 
的 ， 所 以 这 种 方案 可 识别 静态 编 址 的 和 DHCP 编 址 的 设备 。 

陷阱 将 被 发 往 可 识别 线路 通 (link up) 状态 的 一 个 系统 ， 确 认 (ascertain) 新 连 
接 设 备 的 链 路 层 (MAC) 地 址 ， 之 后 确定 该 设备 是 否 要 求 认 证 或 验证 。 这 个 确定 过 
程 可 通过 在 系统 内 的 一 个 MAC 地 址 数据 库 完 成 ， 该 系统 识别 已 知 的 或 可 接受 的 MAC 
地 址 ， 并 将 之 从 未 知 的 或 已 知 不 可 接受 的 MAC 地 址 区 分 开 。 系 统 将 这 两 种 或 也 许 更 
多 种 MAC 地 址 类 别 与 相应 的 VLAN 指派 相关 联 ， 之 后 将 其 编程 在 相应 交换 机 的 给 定 
端口 上 。 之 后 连接 的 设备 将 被 连通 到 指派 的 VLAN。 您 也 许 看 到 这 类 似 于 我 们 讨论 过 
的 使 用 客户 端 类 的 DACP 场景 。 在 这 种 情形 中 ， 第 三 方 系统 使 用 它 的 数据 库 ， 它 并 不 
使 用 DHCP 指派 一 个 IP 地址 ， 而 是 采用 SNMP 或 其 他 方式 配置 层 2 交换 机 。 

对 于 隔离 的 或 受 限 的 门户 访问 ，VLAN 指派 将 仅 导 向 认证 网 络 。 对 于 传递 认证 和 
/或 设备 验证 的 那些 访问 ， 系 统 可 将 MAC 地 址 重新 指派 到 可 接受 的 列表 ， 之 后 据 此 配 
置 交换 机 ， 以 便 改变 端口 VLAN 关联 关系 。 取 决 于 认证 方法 ， 可 能 需要 也 可 能 不 需要 
客户 端 软件 。 对 于 基于 网 站 的 登录 /口令 ， 使 用 认证 客户 端 配 置 您 的 每 台 客 户 端 计 算 
机 ， 也 许 是 不 必要 的 。 但 是 ， 如 果 采 用 Radius 或 其 他 挑战 /响应 认证 技术 战略 措施 的 
话 ， 则 客户 端 软 件 将 是 必要 的 。 


8.2.3 802.1X 


IEEE 802. 1X 是 支持 边缘 设备 捕获 新 的 访问 尝试 的 一 个 协议 规范 ， 它 使 用 Radius 
认证 和 动态 交换 机 端口 配置 。 在 宽带 因特网 前 期 拨号 的 日 子 期 间 ， 您 可 能 使 用 过 Ra- 
dius， 在 层 3 使 用 点 到 点 协议 。 由 IEEE 802.1 工作 组 开发 的 802.1X 将 焦点 放 在 层 2 
协议 上 ， 和 你 预料 的 一 样 ， 它 是 一 个 层 2 协议 。 像 在 前 一 节 中 讨论 的 基于 交换 机 的 认 
证 技术 战略 一 样 ， 这 种 方法 工作 在 第 2 层 ， 在 设备 通过 DHCP 得 到 一 个 层 3 (IP) 地 
址 之 前 。802. 1X 是 基于 标准 的 ， 它 理论 上 支持 不 同 厂商 的 产品 用 作 整 体 解决 方案 内 
的 组 件 。 

如 图 8-3 所 示 ，802. 1X 要 求 有 一 个 客户 端 或 称 为 恳求 者 (supplicant) 的 代理 ， 
它 通 过 一 个 认证 器 〈 例 如 交换 机 ) 的 方式 与 一 台 认 证 服务 器 交互 通信 。 在 初步 连接 
到 一 个 网 络 时 ， 奶 求 者 利用 802. 1X 上 的 扩展 认证 协议 (EAP) 初始 化 到 网 络 接 入 设 
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备 的 一 条 连接 请 求 。 除 了 EAP 报 文 外 ， 可 将 交换 机 配置 成 默认 地 阻塞 来 自 未 认证 端 
口 的 所 有 流量 。 

在 数据 链 路 层 上 设备 所 连接 到 的 接 和 人 交换机， 将 EAP 流量 传输 到 认证 (B Radi- 
us) 服务 器 。 接 下 来 ，Radius 服务 央 挑 战 客 户 端 ， 请 其 输入 一 个 ID 和 口令 。 在 成 功 
认证 后 ，Radius 服务 需 与 边缘 设备 通信 ， 支 持 到 关联 设备 端口 的 访问 。 


客户 端 (请 求 者 ) 22 上 Radius 服 务 器 
i I (认证 服务 器 ) 
访问 阻塞 
EAP- 开 始 
B EAP- 请 求 身份 
EAP 一 应 管 身份 
EAP- 请 求 认证 挑战 
EAP- 响 应 机 密 信息 
”| 认证 
EAP- RU) 
访问 允许 


图 8-3 802. 1X 认证 


8.2.4 Cisco 网 络 接纳 控制 


Cisco 的 网 络 接纳 控制 (NAC) 提供 法 (offering) °° 主要 是 基于 802. 1X 的 。 它 要 
求 一 个 Cisco 信任 代理 (CTA) ， 可 选 的 是 一 个 Cisco 安全 代理 安装 在 每 个 端 用 户 设备 
上 ( 见 图 8-4)。 信任 代 理 包含 一 个 Radius 客户 端 。 在 初步 连接 到 一 个 网 络 时 ，CTA 
利用 802. 1X 上 的 扩展 认证 协议 或 UDP， 初始 化 到 该 网 络 的 一 条 连接 请 求 。 

网 络 接 入 设备 ， 典 型 情况 下 是 设备 在 数据 链 路 层 所 连接 的 一 台 交 换 机 ， 它 将 EAP 
流量 传输 到 Cisco 访问 控制 服务 器 (ACS) ， 由 其 提供 Radius 服务 。 接 下 来 ， 这 个 Ra 
dius 组 件 挑战 客户 端 ， 请 其 输入 一 个 ID 和 一 个 口令 。 可 能 触发 一 个 第 三 方 的 验证 解 
决 方案 ， 来 扫描 尝试 获得 接 人 的 设备 。 在 成 功 认 证 和 验证 后 ，ACS 与 边缘 设备 通信 ， 
激活 到 关联 设备 端口 的 访问 。 

8.2.5 微软 网 络 接 入 保护 

微软 引入 网 络 接 入 保护 (NAP)'” ， 使 管理 员 能 够 确保 正在 访问 一 个 网 络 的 计算 
机 安装 了 合适 的 软件 ， 且 该 软件 是 一 个 指定 的 版 本 或 高 于 该 版 本 ， 这 项 功能 在 微软 
Vista™ BY 7 客户 端 以 及 Windows Server 2008 实现 中 得 以 支持 。 微 软 支 持 一 种 API， 使 
其 他 厂商 能 够 支持 NAP 技术 。NAP 主要 强调 设备 的 符合 性 (compliance) 和 健康 状 
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(思科 信任 代理 + 思科 >. 思科 安全 访问 REAR 
或 第 三 方 安全 代理 ) 思科 边缘 设备 控制 系统 第 三 方 验证 和 补救 
访问 阻塞 
802.1X 认 证 g 
p L 认证 过 的 ;初始 扫描 
扫描 和 补救 


设备 补救 过 的 


LL 向 生产 VLAN 指 派 端口 


访问 允许 
图 8-4 Cisco NAC 基本 流 


态 ， 而 作为 一 项 副产品 ， 才 是 访问 控制 。 即 NAP 的 本 旨 是 当 设备 访问 网 络 时 ， 使 网 
络 管理 员 能 够 验证 设备 与 当前 软件 发 行 版 的 符合 性 ， 本 质 上 并 不 预防 恶意 攻击 者 的 访 
问 。 尽 管 如 此 ，NAP 确实 包含 了 带 有 其 三 个 主要 功能 的 拒绝 访问 正在 进行 中 (pend- 
ing) 的 健康 状态 验证 能 

1) 健康 策略 验证 。 接 收 到 一 次 网 络 访问 尝试 时 ， 得 到 一 台 设 备 的 “健康 状态 ”， 
并 将 其 与 管理 员 定 义 的 “健康 策略 ”比较 。 如 果 设 备 符合 指定 的 健康 策略 ， 则 允许 
设备 进行 不 受 限制 的 访问 ;， 如果 设备 是 不 符合 条 件 的 ， 则 可 向 该 设备 提供 受 限制 的 访 
lal, 或 仅 在 监控 模式 下 的 全 能 力 (不 受 限制 的 ) 访问 。 

2) 健康 策略 符合 性 。 在 访问 尝试 时 ， 不 符合 要 求 的 设备 可 被 可 选 地 自动 进行 升 
级 。 如 果 处 于 纯粹 监测 ( monitoring-only) 模式 ， 则 设备 将 可 使 用 不 受 限制 的 网 络 访 
问 。 在 受 限 的 访问 模式 中 ， 直 到 取得 符合 性 的 能 力 前 ， 该 设备 将 仅 具 有 有 限 的 网 络 访 
问 能 力 。 

3) 受 限 的 访问 。 管 理 员 可 限制 不 符合 要 求 的 设备 的 网 络 可 访问 性 的 范围 。 

微软 Vista 客户 端 包含 一 个 NAP 客户 端 ， 在 访问 一 个 网 络 的 尝试 过 程 中 ， 它 与 一 
个 NAP 策略 服务 器 (NPS) (是 微软 Windows Server 2008 的 组 成 部 分 ) 通信 。NPS 加 
强 了 符合 性 策略 ， 并 在 各 种 技术 上 的 访问 尝试 中 被 查询 (consulted) 检索 ， 这 些 技术 
包括 IPSec, 802.1X, VPN, Radius 和 DHCP, IPSec 是 策略 增强 措施 的 最 强壮 形式 ， 
它 由 一 个 健康 注册 权威 (HRA) 组 成 ， 该 权威 基于 NPS 所 做 的 符合 性 验证 ， 向 符合 
要 求 的 NAP 增强 型 客户 端 (EC) 发 放 X. 509 证 书 。 

802. 1X 访问 流程 遵循 上 面 针 对 802. 1X 描述 的 流程 ， 添 加 了 NAP 策略 服务 器 验 
证 设备 符合 性 的 步骤 。VPN Radius 和 DHCP 访问 组 件 包括 一 个 NAP 增强 型 服务 器 
(ES) 和 一 个 NAP EC， 它 们 在 访问 网 络 的 尝试 中 通过 对 应 的 技术 ， 就 策略 符合 性 进 
行 通信 ( 见 图 8-5) 。 

客户 端 设备 ， 或 NAP 客户 端 ， 包 含 一 个 NAP 代理 ， 以 及 微软 提供 的 和 API 可 访 
问 的 系统 健康 代理 (SHA) M NAP EC， 目的 是 支持 男 外 的 应 用 。 类 似 地 ，NAP 的 特 
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征 是 为 相应 的 系统 健康 验证 器 (SHV) 提供 一 个 API。 当 尝试 访问 网 络 时 ，NAP 客户 
端 将 通过 相应 的 访问 (BEAL) 服务 器 向 NAP 提供 健康 声明 (SoH); 例如 HRA, VPN 
服务 器 、DHCP 服务 器 等 。 接 入 服务 器 将 这 个 信息 传递 给 NPS，NPS 验证 策略 符合 性 ， 
基于 接 入 访问 技术 和 NAP 策略 来 允许 或 限制 访问 。 不 受 限制 或 受 限 访问 权限 被 传递 
到 增强 客户 端 上 的 NAP EC， 虽 然 也 需要 其 他 网 络 配置 ， 例 如 路 由 器 访问 列表 或 静态 
路 由 。 


NAP 策 略 服务 器 


| 
AP 访问 服务 
国王 

| 


图 8-5 ”微软 NAP 组 件 [” 


8.3 41E DHCP 安全 


8.3.1 DHCP 威胁 


在 企业 环境 内 ， 对 DACP 的 多 数 威胁 是 由 内 部 ( 即 组 织 机 构 内 部 ) 客户 端 导致 
的 。 外 部 客户 端 不 应 该 到 达 ( 即 连通 ) DHCP 服务 器 ,方法 是 ， 简 单 地 不 将 DHCP 服 
务 器 部 署 在 外 部 子 网 ， 也 不 中 继 来 自 外 部 源 的 DHCP 报 文 。 对 于 使 用 DHCP 初始 化 订 
户 设 备 (不 管 是 蜂窝 电话 (手机 )、 线 缆 或 光纤 路 由 器 等 ) 的 服务 提供 商 而 言 ， 对 
DHCP 服务 的 威胁 ， 依 据 定义 是 从 外 部 到 达 网 络 的 。 简 而 言 之 ,使 用 DHCP 的 所 有 组 
织 机 构 都 是 脆弱 的 。 脆 弱 的 程度 以 及 被 攻破 的 影响 ， 应 该 以 使 DHCP 安全 的 形式 ， 以 
便 最 小 化 这 种 影响 ， 来 驱动 响应 行为 。 接 下 来 ， 我 们 将 审视 一 下 攻击 的 主要 形式 。 

像 所 有 网 络 服务 一 样 ， 对 于 拒绝 服务 (DOS) Bok, DHCP 是 脆弱 的 。 当 一 个 攻 
击 者 以 对 服务 器 而 言 太 多 的 请 求 ， 使 其 不 能 人 处理， 而 洪 泛 攻击 一 台 给 定 服务 器 时 ， 该 
服务 器 将 用 其 所 有 的 计算 周期 ， 尝 试 处 理 洪 泛 请 求 ， 而 不 能 处 理 合法 的 客户 端 请 求 ，; 
因此 ， 这 些 合法 的 客户 端 就 不 能 被 服务 ， 对 它们 而 言 服务 是 不 可 用 的 。 

另 一 种 类 型 的 攻击 ， 涉 及 一 名 无 赖 (rogue) 客户 端 尝试 得 到 一 个 有 效 的 IP 地 址 
和 配置 ， 以 便 可 访问 网 络 。 这 可 能 是 恶意 的 (例如 宽带 服务 被 盗窃 使 用 )， 或 简单 的 
偶然 性 的 (例如 一 名 拜访 者 将 网 线头 插入 会 议 室 的 墙 上 插座 ) 。 

第 三 种 形式 的 攻击 ， 特 征 是， 一 台 无 赖 DHCP 服务 器 对 来 自 客户 端的 租赁 请 求 做 
出 响应 ， 提 供 不 正 确 的 IP 地 址 和 /或 选项 参数 信息 。 这 种 “中 间 人 ”型 的 攻击 会 尝试 
在 客户 端 上 设置 不 正确 的 配置 参数 ， 例 如 所 用 的 默认 网 关 或 DNS 服务 器 地 址 (可 能 
是 多 个 地 址 ) 。 注 意 对 于 了 4 ， 一 般 而 言 ， 仅 当 服务 器 和 客户 端 位 于 同一 子 网 上 时 ， 
一 台 无 赖 DHCP 服务 器 攻击 才 是 可 行 的 ; 假定 中 继 代理 将 被 配置 成 去 中 继 DHCP 报 文 
到 经 过 授权 的 DHCP 服务 器 。 一 台 远 端的 无 束 DHCPv6 IR ai A) eH et DHCP 组 播 地 
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址 是 可 到 达 的 。 

客户 端 可 从 合法 的 DACP 服务 器 (可 能 是 多 台 ) 和 无 赖 服务 器 ， 接 收 DHCPOF- 
FER。 许 多 客户 端 将 选择 包括 其 请 求 参数 的 第 一 个 提供 (offer) 报 文 。 如 果 无 赖 服务 
器 和 客户 端 处 在 同一 子 网 上 ， 而 合法 服务 器 不 在 这 个 子 网 上 时 ， 那 么 可 能 情况 是 ,无 
赖 服务 器 也 许 能 够 指派 规定 客户 端的 耳 配 置 。 


8.3.2 DHCP 威胁 缓解 措施 


针对 DOS 攻击 的 防护 ， 应 该 在 超出 DHCP 的 一 个 更 广泛 的 上 下 文中 进行 实现 。 
在 一 个 组 织 机 构 内 的 其 他 潜在 被 攻击 目标 ,包括 DNS 服务 器 或 web 服务 器 ， 隐 含 着 
要 考虑 一 种 基于 网 关 的 或 报 文 过 滤 的 方法 ， 以 便 以 一 种 通用 的 解决 方案 来 保护 所 有 的 
服务 器 。 上 典型 情况 下 ， 这 样 一 种 解决 方案 涉及 报 文 过 滤 和 正在 进行 的 未 完成 报 文 数量 
的 阔 值 限制 ,但 就 DHCP 而 言 要 谨慎 从 事 ， 这 里 的 原因 是 多 数 客户 端的 事务 都 是 以 漏 
斗 方 式 (funnel) 通过 DHCP 中 继 代 理 的 ， 它 将 来 自 一 个 给 定 源 地 址 集合 的 报 文 集中 
处 理 。 

通过 不 正当 地 从 DHCP 得 到 一 个 全 地址 ， 从 而 得 到 IP 网 络 访问 权限 的 未 知客 户 
端 ， 这 种 情况 会 构成 威胁 ,缓解 这 种 未 知客 户 端 威胁 的 步 又 要 求 识别 客户 端 ， 依 据 是 
我 们 在 本 章 开 始 讨论 的 各 种 访问 控制 技术 。 

无 赖 的 DHCP 服务 需 是 难以 检测 的 ， 由 于 对 于 与 无 赖 服 务 器 处 于 相同 子 网 上 的 各 
客户 端 更 是 如 此 。 但 ISC 和 微软 的 实现 都 提供 了 缓解 无 赖 服务 器 危害 的 方法 。ISC 使 
用 authoritative (权威 的 ) 命令 (directive) ， 该 命令 配置 服务 器 ， 使 其 当 一 条 客户 端 
请 求 一 个 地 址 租赁 时 (该 服务 器 是 这 个 地 址 的 权威 服务 器 ) ， 但 该 服务 器 却 没 有 记 
录 ， 这 时 服务 占 发 出 一 条 DHCPNAK。 微软 的 实现 则 要 求 DHCP 服务 器 在 活跃 目录 
(Active Directory) 内 得 到 授权 ; 因此 ， 当 一 台 Windows DHCP 服务 器 启动 时 ， 在 处 理 
DHCP 报 文 之 前 ， 它 要 在 活跃 目录 中 验证 它 的 授权 。 


8.3.3 DHCP 认证 


IETF 在 RFC 3118! HEX T DHCP 认证 ,将 之 定义 为 通过 使 用 共享 令 牌 或 密 钥 
(key), PEE DHCP 报 文 发 送 者 和 接收 者 验证 的 一 种 机 制 。 简 单 地 说 ， 一 个 令 牌 就 是 
一 个 固定 数值 ， 它 被 插入 到 DHCP 认证 选项 字段 。 报 文 接收 者 检查 令 牌 ， 如 果 令 牌 与 
它 所 配置 的 令 牌 相 匹 配 ， 则 接受 该 报 文 ; 否则 ， 它 丢弃 报 文 。 这 种 方法 提供 了 弱 的 端 
点 认证 ， 但 不 提供 消息 验证 。 使 用 共享 密 钥 的 方法 ， 可 提供 带 有 消息 验证 的 更 强壮 的 
端点 认证 。 但 是 ， 共 享 密 钥 必 须 被 配置 在 每 个 客户 端 上 ， 且 每 个 客户 端的 密 钥 要 配置 
在 每 台 DHCP 服务 器 上 〈 正 是 通过 它们 ， 客 户 端 得 到 地 址 租赁 的 ) DHCP 认证 规范 
没有 定义 密 钥 分 发 的 机 制 。 例 如 ， 移 动 客户 端 将 需要 可 能 与 其 交互 通信 的 每 台 DHCP 
服务 器 配置 相应 的 令 牌 ， 反 之 亦 然 。 

下 面 是 DHCP 认证 如 何 工 作 的 过 程 。 客 户 端 产生 其 DHCPDISCOVER 报 文 的 一 个 
HMAC-MDS 散 列 ， 并 使 用 共享 密 钥 对 其 签名 。 得 到 的 摘要 被 放置 在 DHCP 认证 选项 
之 中 ， 并 在 DHCPDISCOVER 报 文 内 传输 到 服务 器 。 出 于 散 列 计算 的 目的 ，DHCP 认 
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证 选项 的 散 列 部 分 必须 设置 为 0。 之 后 DHCP 服务 器 将 利用 与 客户 端 相关 联 的 共享 密 
钥 (由 DHCP 认证 选项 的 秘密 ID 字段 加 以 识别 ) ， 计 算 所 接收 到 消息 的 一 个 散 列 值 。 
出 于 散 列 计算 的 目的 ， 服 务 器 将 散 列 值 、 跳 数 和 GIAddr 字段 清 零 。 如 果 计 算得 到 的 
散 列 值 与 原始 DHCP 认证 选项 中 传输 过 来 的 散 列 值 相 匹配 ， 则 认为 客户 端 和 报 文 内 容 
是 被 认证 过 的 。 当 DHCP 服务 器 准备 它 的 DHCPOFFER 和 发 往 客户 端的 未 来 报 文 时 ， 
它 使 用 相同 的 共享 密 钥 来 计算 其 DHCP 认证 选项 的 散 列 值 。 

存在 非常 稀少 的 DHCP 认证 实现 。 对 于 人 们 可 感知 到 的 认证 优势 而 言 ， 因 为 密 钥 
管理 和 由 于 散 列 计算 导致 的 处 理 时 延 这 两 方面 的 挑战 ， 认 证 被 认为 是 一 项 太 繁 重 的 负 
担 ， 而 无 法 为 人 们 所 承受 。 那 么 ， 典 型 情况 下 ，DHCP 服务 的 安全 责任 就 落 在 DHCP 
服务 器 管理 员 的 身上 ， 由 他 们 监测 服务 器 ， 当 出 现 威胁 时 ， 对 威胁 做 出 响应 。 


第 亚 部 分 域名 系统 (DNS) 


DNS 提供 了 一 项 自动 化 的 查找 设施 ， 目 的 是 方便 人 们 使 用 卫 网 络 。 虽 然 DNS 提 
供 的 最 常见 的 查找 功能 是 将 名 字 解 析 为 IP 地 址 ， 但 我 们 在 第 9 章 中 讨论 DNS 协议 基 
本 知识 之 后 ， 正 如 我 们 将 在 第 10 章 看 到 的 ，DNS 可 支持 种 类 很 广 的 应 用 。 我 们 将 在 
第 亚 部 分 的 其 他 章节 中 讨论 部 署 和 安全 。 
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DNS 是 IPAM 的 第 三 个 基础 和 IP 通信 的 一 个 基本 单元 。DNS 提供 了 如 下 方面 的 
各 种 方法 ， 它 提供 了 IP 应 用 的 可 用 性 改进 ， 隔 离 端 用 户 使 其 不 必 将 IP 地 址 直接 输入 
到 像 网 页 浏览 器 的 应 用 之 中 。 当 然 ， 要 在 一 个 IP 网 络 上 通信 ， 一 台 站 设备 需要 将 了 
报 文 发 送 到 预期 的 目的 地 他 设备 ， 正 如 我 们 已 经 看 到 的 ，IP 报 文 首部 要 求 源 地 址 和 
目的 卫 地址。DNS 提供 了 从 一 个 用 户 输入 的 命名 目的 地 信息 (例如 网 站 地 址 ) 转换 
到 其 IP 地 址 的 手段 。 

作为 一 项 网 络 服务 ，DNS 已 经 从 简单 的 主机 名 称 到 IP 地址 查找 设施 ， 演 化 发 展 
到 支持 非常 复杂 的 “查找 ”应 用 ， 支 持 语音 、 数 据 、 多 媒体 和 安全 应 用 。 对 于 这 样 
的 查找 功能 ,已 经 证 明 DNS 是 极 具 扩展 性 和 可 靠 性 的 。 在 开始 介绍 这 个 信息 是 如 何 
组 织 的 之 后 ， 我 们 将 讨论 这 个 查找 过 程 是 如 何 工作 的 。 


9.1.1 域 层次 结构 


全 球 域名 系统 实际 上 是 一 个 分 布 式 的 层次 化 数据 库 。 一 个 域名 中 的 每 个 “点 ” 
间 明 层次 结构 中 各 层 之 间 的 一 个 边界 ， 在 点 之 间 的 每 个 名 字 表 示 一 个 标签 (label), 
层次 结构 的 顶部 ,“. ”或 根 域 提 供 了 到 顶层 域 的 索引 ， 例 如 . com、. net, . us 、. uk, 
这 些 顶 层 域 接 下 来 索引 相应 的 子 域 。 每 个 这 样 的 顶层 域 (Top Level Domain, TLD) 是 
根 域 的 一 个 子 域 。 每 个 TLD 也 有 几 个 子 域 ， 例 如 ipamwordwide. com 作为 com 域 的 
ipamworldwide 域 。 这些 子 域 可 能 有 子 域 等 。 

当 我 们 从 右 到 左 在 点 之 间 读 取信 息 时 ， 可 识别 我 们 正在 寻找 的 主机 的 一 条 唯一 


9.1 DNS 综述 


名 “本章 的 开始 几 节 依据 的 是 参考 文献 [11] 的 第 4 RE 
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路 径 。 最 左 侧 点 左边 的 文本 ”通常 是 主机 名 ， 它 位 于 域名 其 他 部 分 所 指明 的 域 的 内 
部 。 一 个 完全 合格 的 域名 (FQDN) 指 在 全 球 DNS 数据 层次 结构 内 对 节点 或 主机 而 
言 ， 这 个 唯一 的 完整 [绝对 ] 的 路 径 名 。 图 9-1 形象 地 说 明 一 个 完全 合格 的 域名 
映射 到 树 状 结 构 的 DNS 数据 库 。 注 意 在 . com 之 后 的 尾部 “点 ”号 ， 它 显 式 地 表 
明 域 名 内 部 的 根 域 ， 这 使 之 成 为 完全 合格 的 。 记 住 ， 如 果 没 有 这 个 显 式 的 FQDN Æ 
部 “点 ”表示 的 话 ， 则 一 个 给 定 的 域名 可 被 二 义 性 地 解释 为 是 完全 合格 的 ， 或 相 
对 于 “当前 ” 域 的 。 这 当然 是 合法 的 和 较 容易 的 速记 法 ， 但 一 定 要 小 心 潜在 的 二 


‘ ; ipamworldwide.com 
ipamworldwide.com 


service.com 
phila.ipamworldwide.com sw.ipamworldwide.com 
dev.ipamworldwide.com 
pc52 . dev. ipamworldwide . com. 


pc52 主机 . | . 
ipamworldwide.com 


域 根 域 


dev.ipamworldwide.com 
域 com TLD 


图 9-1 BRS — 45642 Hay 


9.2 名字 解 析 


为 了 形象 地 说 明 域 信息 是 如 何 组 织 的 以 及 一 台 DNS 服务 器 如 何 利用 这 个 层次 化 


四” 一些 环境 允许 主机 名 内 出 现 “点 ”， 这 相对 而 言 是 不 常见 的 ， 虽 然 是 被 允许 的 。 
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数据 结构 的 ， 让 我 们 看 一 个 名 字 解 析 范 例 。 依 据 图 9-1 的 范例 ， 让 我 们 假定 我 希望 连 
接 一 个 名 为 pc52 的 设备 。 因 此 我 输入 主机 域名 pec52. dev. ipamworldwide. com， 作 为 我 
期 望 的 目的 地 。 我 将 这 个 域名 键入 其 中 的 应 用 (例如 电子 邮件 客户 端 和 网 页 浏览 器 ) 
利用 套 接 字 2 应 用 编程 接口 (API) ， 与 TCP/IP 栈 内 称 为 〈 解 析 器 ) resolver 的 一 部 分 
代码 通信 。 在 这 个 实例 中 ,解析 器 的 工作 是 将 我 键 人 的 web 服务 器 名 转换 为 一 个 IP 
地 址 ， 使 用 这 个 IP 地 址 可 发 起 IP 通信 。 

解析 器 向 我 的 本 地 DNS 服务 器 发 出 这 个 主机 名 的 一 个 查询 ， 请 求 该 服务 器 提供 一 
个 答案 。 这 台 本 地 DNS 服务 器 的 卫 地 址 是 采用 手工 配置 ?的 ， 或 使 用 域名 服务 器 选项 
(DHCP 中 的 选项 6 和 DHCPv6 中 的 选项 23) 通过 DHCP 配置 的 。 之 后 这 台 DNS 服务 器 
将 尝试 回答 查询 ， 方 法 是 以 指定 顺序 在 后 根 (following) 的 区 域 中 查找 ， 如 图 9-2 所 示 。 

我 们 经 常 称 解析 器 向 其 发 出 查询 的 这 台 DNS 服务 器 为 一 台 递 归 服 务 器 。“ 递 归 ” 
意味 着 解析 器 希望 ， 如 果 DNS 服务 器 自己 不 知道 答案 ， 也 要 尝试 找到 其 查询 的 答案 。 
从 解析 器 的 角度 看 ， 它 发 出 一 条 查询 ， 并 期 竺 一 个 答案 。 从 递归 DNS 服务 器 的 角度 
看 ， 它 尝试 为 解析 器 定位 技 到 答案 。j 递归 服务 器 是 解析 器 进入 全 球 域名 系统 的 “ 门 
户 ” 。 递 归 服 务 器 直接 从 客户 端 解析 器 接收 递归 查询 ， 并 实施 如 下 列 出 的 步 又 ， 代 表 
解析 器 得 到 查询 的 答案 。 


因特网 根 
SE DNS 服务 器 
Az 
一 a eo wa .com TLD 
DNS 服务 器 
权威 的 答案 的 “© 
缓存 的 递归 oS ipamworldwide.com 
DNSWAR (eye DNS 服务 器 


图 9-2 sat om 


(1) 解析 器 向 递归 DNS 服务 器 发 起 一 条 查询 。 依 据 通过 手工 输入 或 DHCP 的 配 
置信 息 ， 解 析 器 知道 要 查询 哪 台 DNS 服务 器 。 

(2) 被 查询 服务 器 将 首先 搜索 其 所 配置 的 数据 文件 。 即 在 典型 情况 下 ， 
务 器 配置 有 配置 和 资源 记录 信息 ， 它 是 这 些 信息 的 权威 服务 器 。 在 典型 情况 下 ， 
言 息 是 使 用 文本 文件 、 一 个 Windows 界面 或 一 个 IPAM em 例如 ， we 的 
DNS 服务 咒 可 能 配置 有 贵 公司 IP 设备 的 解析 信息 。 如 此 ， 这 就 是 权威 信息 。 如 果 找 
到 答案 ， 则 将 其 返回 解析 器 ， 过 程 终止 。 

(3) 如 果 被 查询 的 服务 器 不 是 被 查询 域 的 权威 ， 它 将 访问 它 的 缓存 ， 以 便 确 定 


O 这 个 API 是 位 于 从 应 用 到 协议 栈 的 TCP/IP 层 的 。 gethostbyname sockets/ Winsock 调用 发 起 这 个 特定 
的 过 程 。 
O ”我们 将 在 本 章 稍 后 部 分 回顾 如 何 进行 这 种 手工 配置 。 
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它 最 近 是 否 在 以 前 的 解析 任务 过 程 中 ， 从 另 一 台 DNS 服务 器 接收 到 过 相同 的 或 类 似 
的 查询 。 如 果 pc52. dev. ipamworldwide. com. 的 答案 还 在 缓存 "之 中 ， 则 DNS 服务 器 将 
以 这 个 非 权 威 的 信息 返回 给 解析 器 ， 过 程 终止 。 这 不 是 一 个 权威 答案 的 事实 ， 一 般 来 
说 ， 是 没有 什么 不 良 后 果 的 ,但 服务 器 在 其 响应 中 ， 将 这 个 事实 提示 给 解析 器 。 

(4) 如 果 被 查询 的 DNS 服务 器 不 能 在 缓存 中 定位 找到 被 查询 的 信息 ， 那 么 它 将 
尝试 通过 男 一 台 有 该 信息 的 DNS 服务 器 来 定位 查找 该 信息 。 用 来 执行 这 种 “逐步 增 
强 ” 功 能 ， 存 在 三 种 方法 。 

1) 如 果 在 步 又 (3) 中 ,索引 的 缓存 信息 指明 查询 的 一 个 部 分 答案 ， 则 它 将 尝试 联 
系 那 个 信息 的 源 ， 来 定位 最 终 的 源 和 答案 。 例 如 ， 对 另 一 台 DNS 服务 器 一 一 服务 器 A 以 
前 的 一 条 查询 ， 可 能 指明 那 台 DNS 服务 器 A 是 ipamworldwide. com 域 的 权威 。 那 么 初始 时 
被 查询 的 DNS 服务 器 会 查询 DNS 服务 右 A， 查 询 得 到 pc52. dev. ipamworldwide. com 的 解析 。 

2) 如 果 缓 存 没 有 提供 相关 的 信息 ， 且 被 查询 的 递归 服务 器 被 配置 为 可 转发 状 
态 ， 则 该 服务 器 将 依据 其 配置 或 区 域 (zone) 文件 的 配置 转发 该 查询 。 在 后 面 我 们 将 
讲解 细节 内 容 。 

3) 如 果 在 缓存 中 没有 找到 信息 ， 该 服务 器 不 能 识别 一 台 转 荐 (referral) 服务 
器 ,或 转发 没有 提供 一 个 响应 ?或 没有 配置 成 可 转发 ， 则 DNS 服务 器 将 访问 它 的 线索 
(hints) 文件 。 为 了 开始 从 域 层次 结构 向 下 遍历 到 达 一 台 DNS 服务 器 (可 提供 查询 的 
一 个 答案 ) ， 线 索 文 件 提供 要 查询 的 根 名 字 服 务 器 的 一 个 列表 。 

注意 ， 通 过 向 其 他 DNS 服务 顺 发 出 查询 来 定位 查找 解析 信息 ， 递 归 服 务 器 本 身 
实施 执行 这 个 查找 的 解析 器 功能 。 术 语 “ 桩 解析 器 ” (stub resolver) 通常 用 来 识别 解 
析 需 ， 就 像 在 终端 用 户 的 客户 端 内 的 那些 解析 器 ， 可 仅 配置 带 有 要 查询 的 递归 名 字 服 
Fit (NS), 

(5) 在 查询 一 台 根 服务 器 或 基于 被 缓存 的 信息 沿 树 进一步 向 下 找到 的 一 台 服 务 
侣 时 ， 被 查询 的 服务 右 将 解析 查询 ， 提 供 pc52. dev. ipamworldwide. com HY IP ehk (可 
能 有 多 个 地 址 ) ， 或 提供 到 另 一 台 DNS 服务 器 ( 沿 层 次 结构 向 下 “比较 接近 ”要 查 
找 的 完全 合格 的 域名 ) 的 一 条 转 荐 信息 。 例 如 ， 在 查询 一 台 根 服务 器 时 ， 可 以 有 保 
证 地 说 ， 您 将 不 会 得 到 pc52. dev. ipamworldwide. com 的 一 个 直接 解析 答案 。 但 是 ， 根 
名 字 服 务 器 将 正在 查询 的 DNS 服务 器 指向 负责 com. 的 权威 名 字 服 务 器 。 根 服务 顺 是 
“ 仅 被 委派 ”的 服务 器 ， 不 直接 解析 查询 ， 仅 对 被 查询 的 TLD 返回 被 委派 的 名 字 服 务 
器 信息 。 

(6) 直到 查询 被 回答 之 前 ， 递 归 服 务 顺 依据 沿 域 树 (domain tree) 向 下 得 到 的 应 
答 ， 和 迭代 重复 ?附加 的 查询 。 继 续 我 们 的 范例 ， 在 查询 com. 的 权威 名 字 服 务 器 时 ， 
接收 到 的 答案 将 是 ipamworldwide. com. 的 权威 名 字 服 务 器 的 一 个 索引 ， 如 此 沿 树 向 下 


四 ”缓存 表 项 是 临时 的 ，DNS 服务 器 依据 用 户 配 置信 息 以 及 一 个 资源 记录 的 通告 寿命 ， 对 其 进行 清除 。 

”如 果 配 置 仅 转 发 (forward only) 选项 ， 如 果 被 转发 的 查询 返回 的 是 没有 结果 ， 则 不 做 解析 尝试 ， 如 
果 配 置 首先 转发 (forward first) 选项 ， 则 接着 发 生 本 段 中 列 出 的 过 程 ， 并 逐步 到 达 一 台 根 服务 器 。 
O 这 些 “点 到 点 ”查询 被 称 作 迭 代 查 询 。 
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饥 历 。 最 终 ， 应 该 可 定位 得 到 与 该 查询 有 关 的 区 域 的 权威 DNS 服务 器 。 权 威 DNS 服 
务 器 将 读 取 所 查询 类 型 的 一 个 资源 记录 的 相应 区 域 信 息 。 该 服务 器 将 资源 记录 (可 
能 有 多 条 记录 ) 传递 给 发 出 查询 请 求 (递归 ) 的 DNS 服务 器 。 

(7) 当 接收 到 答案 时 ， 递 归 DNS 服务 器 将 向 解析 器 提 供 该 答案 ， 同 时 更 新 其 组 
存 ， 过 程 终止 。 如 果 没有 找到 一 个 答案 ， 递 归 服 务 器 也 将 缓存 这 个 “负面 的 ”信息 ， 
用 于 对 类 似 查 询 做 出 响应 。 

总 之 ， 解 析 过 程 包括 中 寻找 带 有 权威 信息 的 一 台 名 字 服 务 咒 ， 以 便 解 析 存 在 疑问 
的 查询 ; @ 向 那 台 服务 器 查询 期 望 的 信息 。 在 我 们 的 范例 中 ,期望 的 信息 是 对 应 于 域 
名 pc52. ipamworldwide. com 的 IP 地址。 将 被 查询 域名 映射 到 一 个 IP 地 址 的 这 个 “ 翻 
译 ” 信 息 ， 以 一 条 资源 记录 的 形式 被 存储 在 DNS 服务 器 之 中 。 为 不 同类 型 的 查询 定 
义 了 不 同类 型 的 资源 记录 。 每 条 资源 记录 包含 一 个 “主键 ” (key) 或 查找 值 和 一 个 
对 应 的 解析 或 答案 值 。 在 一 些 情 形 中 ， 一 个 给 定 类 型 的 一 个 给 定 查找 值 在 DNS 服务 
器 配置 中 可 能 有 多 个 表 项 。 在 这 种 情形 中 ， 权 威 DNS 服务 器 将 返回 资源 记录 (或 
RRSet) 的 整个 集合 ， 它 匹配 被 查询 的 值 (名 字 ) 、 类 和 类 型 。 在 下 一 童 我 们 将 详细 
讨论 资源 记录 。 

底部 一 行 是 ，DNS 服务 器 在 其 相应 域 信息 为 权威 的 域 树 的 所 有 层次 上 进行 配置 ， 
同时 还 有 治 域 树 向 下 到 哪里 去 索引 查询 器 。 在 许多 情形 中 ， 在 不 同 层次 的 这 些 服 务 骨 
是 被 不 同 组 织 机 构 管 理 的 。 不 是 在 域 树 中 的 每 个 层次 或 节点 都 需要 不 同 的 DNS 服务 
器 集合 ， 原 因 是 一 个 组 织 机 构 会 在 一 个 DNS 服务 器 的 同一 集合 内 服务 多 个 域 层次 。 
虽然 域 树 的 上 三 层 典型 地 使 用 不 同 管理 权威 之 下 的 三 个 DNS 服务 右 集 合 ， 但 在 
DNS 服务 器 单一 集合 上 文 持 一 个 组 织 机 构 内 部 的 多 个 层次 或 域 却 是 一 项 部 署 决策 的 
事情 。 这 个 决策 主要 根据 是 否 要 求 (RWE) 管理 委托 进行 授权 。 例 如 ，ipamworld- 
wide. com 域 的 DNS 管理 员 会 期 望 保留 dev. ipamworldwide. com 域 的 管理 控制 权限 ， 但 
将 eng. ipamworldwide. com 委托 给 一 组 不 同 的 管理 员 和 名 字 服 务 器 。 这 引出 我 们 在 下 
面 就 区 域 和 域 之 间 的 不 同 进行 讨论 。 


9.3 区域 和 域 


术语 “区 域 ”(zone) ÆW (domain) 层次 结构 而 言 ， 区 分 管理 控制 的 层次 的 。 在 
我 们 的 范例 中 ， ipamworldwide. com 区 域 包含 ipamworldwide. com 和 dev. ipamworldwide. com 
域 的 权威 ， 而 eng. ipamworldwide. com 区 域 保留 eng, ipamworldwide. com 域 的 权威 ， 如 图 9-3 
所 示 。 

通过 委托 eng. ipamworldwide. com 的 权威 ，ipamworldwide. com 的 DNS 管理 员 们 同 
意 将 eng. ipamworldwide. com (以 及 域 树 中 eng. ipamworldwide. com 之 下 的 任何 子 域 ) 
的 所 有 解析 传递 给 运行 eng. ipamworldwide. com 区 域 的 员工 所 管理 的 DNS 服务 器 。 这 
些 eng. ipamworldwide. com 管理 员 们 可 自治 地 管理 他 们 的 域 和 资源 记录 以 及 任何 子 域 ; 
他 们 仅 需 要 通知 父 域 管理 员 们 (ipamworldwide. com 的 ) 当 解析 器 或 其 他 DNS 服务 器 
尝试 沿 域 树 向 下 遍历 搜索 解析 时 ， 将 他 们 接收 到 的 查询 定向 到 哪里 。 
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.net 


ipamworldwide.com 


eng.ipamworldwide.com 


z i eng.ipamworldwide.com zone 
ipamworldwide.com zone 


Ipamworldwide 


域 
图 9-3 ”作为 被 委托 域 的 区 域 i 


因此 ，ipamworldwide. com 区 域 的 管理 员 们 必须 为 ipamworldwide. com 区 域 配 置 所 
有 的 资源 记录 和 配置 属性 ， 包 括 ipamworldwide. com 区 域内 部 的 各 子 域 , 例如 
dev. ipamworldwide. com 域 。 同 时 ，ipamworldwide. com 管理 员 们 必须 提供 到 任何 子 区 域 
(例如 eng. ipamworldwide. com) 的 一 条 委托 连接 关系 。 这 条 委托 连接 关系 是 以 如 下 方 
MN, FEB IRS AE (NS) 资源 记录 输入 到 ipamworldwide. com 区 域 文件 内 ， 
EHEZ FIRS 4h eng. ipamworldwide. com 被 委托 区 域 的 权威 。 通 过 沿 域 树 向 下 
RIMITA A RSS ait, CHE NS 记录 提供 了 到 被 委托 子 区 域 的 连续 性 。 称 作 
烙 接 记录 的 对 应 A 或 AAAA 记录 也 通常 被 定义 将 被 解析 NS 主机 域名 粘 接 到 一 个 P 
地 址 ， 从 而 支持 进一步 查询 的 直接 寻 址 。 
图 9-3 中 的 阴影 表明 ，ipamworldwide. com 域 包含 ipamworldwide. com 节点 及 其 所 
有 的 子 节 点 ， 突 出 显示 了 ipamworldwide. com 这 个 层次 的 责任 关系 及 其 “下 ”的 情况 。 
ipamworldwide. com DNS 管理 员 们 负责 维护 ipamworldwide. com 区 域 的 所 有 DNS 配置 信 
息 以 及 到 服务 被 委托 子 区 域 DNS 服务 器 的 转 荐 信息 。 因 此 ， 当 世界 各 地 的 其 他 DNS 
服务 器 (代表 其 客户 Mig) 在 尝试 解析 终结 于 ipamworldwide. com 中 的 任何 名 字 时 ， 它 
们 的 查询 将 要 求 遍历 ipamworldwide. com DNS 服务 器 ， 也 许 还 有 其 他 DNS 服务 器 ， 例 
如 服务 eng. ipamworldwide. com 区 域 的 那些 服务 器 。 
将 名 字 空 间 委 托 的 过 程 支 持 DNS 配置 的 自治 ， 同 时 通过 全 球 DNS 数据 库 内 部 的 
NS 记录 转 荐 提供 连接 关系 。 正 如 你 所 想象 的 ， 如 果 这 些 NS 记录 索引 的 名 字 服 务 器 不 


第 9 章 DNS 协议 125 


可 用 的 话 ， 则 域 树 将 在 那个 点 是 断 开 的 ， 使 域 树 中 在 那个 点 或 之 下 的 名 字 不 可 解析 。 
如 果 eng. ipamworldwide. com DNS 服务 需 下 线 ， 则 eng. ipamworldwide. com 及 其 子 节点 
的 权威 解析 将 会 失效 。 这 形象 地 说 明 ， 出 于 宛 余 性 考虑 ， 要 求 每 个 区 域 必须 至 少 有 两 
APUR DNS HRI Ht 
因此 ipamworldwide. com 区 域 的 管理 员 将 以 ipamworldwide. com 和 dev. ipamworldwide. com 
域 的 配置 和 解析 信息 来 配置 他 们 的 DNS 服务 器 ; 他 们 也 将 以 服务 被 委托 区 域 或 子 区 
域 的 DNS 服务 咒 的 名 字 和 地 址 配置 他 们 的 服务 器 。 他 们 不 需要 知道 这 些 被 委托 区 域 
的 任何 知识 ; 仅仅 知道 要 联系 谁 ， 从 而 一 个 转 荐 可 被 发 送 到 发 出 查询 请 求 的 递归 DNS 
IRA HF 

DNS 服务 器 配置 信息 由 服务 器 配置 参数 和 所 有 区 域 (该 服务 器 是 这 些 区 域 的 权 
威 ) 的 声明 组 成 。 这 个 信息 可 在 作为 一 个 给 定 区 域 集 的 权威 的 每 台 服 务 器 上 加 以 定 
义 。 资 源 记录 的 添加 、 改 变 和 删除 、 每 个 区 域 配置 文件 内 的 离散 (discrete) 解析 信 


息 ， 可 在 一 台 主 (master) 服务 器 上 输入 一 次 ， 或 更 准确 地 说 ， 被 配置 为 相应 区 域 主 
服务 器 的 服务 器 上 输入 一 次 。 类 似 地 也 是 这 个 信息 的 权威 的 其 他 服务 器 可 被 配置 为 从 
属 的 (slaves) 或 辅助 的 (secondaries) 服务 器 ， 通 过 区 域 传 递 的 过 程 ， 它 们 得 到 区 
域 更 新 。 区 域 传 递 使 一 台 从 属 服务 器 从 主 服务 器 得 到 权威 区 域 信息 的 最 新 拷贝 。 集 成 
微软 活跃 目录 的 DNS 服务 器 ， 出 于 与 这 个 标准 过 程 兼 容 的 考虑 ， 支 持 区 域 传递 ,但 
也 支持 DNS 数据 复制 ， 方 法 是 使 用 本 地 的 活跃 目录 复制 进程 。 


9.3.1 区 域 信息 的 传播 


考虑 到 DNS 服务 在 解析 权威 信息 并 维护 域 树 连接 关系 中 的 关键 地 位 ， 则 DNS 服 
务 器 宛 余 就 是 必需 的 。 不 同 的 DNS 服务 器 厂商 采取 不 同 的 宛 余 方 法 。 当 DNS 信息 被 
集成 到 活跃 目录 (这 是 Windows Server 产品 的 架构 基础 ) 时 ， 微 软 将 DNS 信息 在 一 
组 域 控制 锅 间 复制 。ISC BIND 实现 通过 一 个 轮 辐 型 模型 (hub-and-spoke) 文 持 DNS 
信息 复制 。 配 置 改变 是 依据 上 述 方法 输入 到 一 台 主 DNS 服务 器 的 。 宛 余 DNS 服务 器 
被 配置 为 从 属 的 或 辅助 角色 ， 它 们 通过 区 域 传递 的 过 程 得 到 区 域 更 新 。 区 域 传递 使 一 
台 从 属 服务 器 能 够 从 主 服务 器 得 到 其 权威 区 域 信息 的 最 新 拷贝 。 出 于 与 这 个 标准 过 程 
的 兼容 性 考虑 ， 微 软 的 活跃 目录 集成 的 DNS 服务 器 也 支持 区 域 传递 。 

区 域 文件 的 版 本 由 一 个 区 域 序列 号 跟踪 记录 ， 该 序列 号 在 每 次 一 个 改变 施加 到 区 
域 时 ， 就 会 发 生 改变 。 将 从 属 服 务 器 配置 为 周期 性 地 检查 设置 在 主 服务 髓 上 的 区 域 序 
列 号 ， 如 果 为 区 域 定 义 的 序列 号 大 于 其 自己 的 值 ， 则 它 会 做 出 结论 ， 即 它 有 超期 的 信 
息 ， 并 将 发 起 一 次 区 域 传 递 。 另 外 ， 该 区 域 的 主 服务 器 可 被 配置 成 通知 其 从 属 服务 
器 ,发生 了 一 次 改变 ,促使 从 属 服务 器 立刻 检查 序列 号 ， 并 实施 一 次 区 域 传 递 ， 以 便 
比 等 待 正 常 的 周期 性 更 新 检查 更 快速 地 得 到 更 新 。 

区 域 传递 可 由 称 作 一 次 绝对 区 域 传递 (AXFR) 的 整个 区 域 配置 文件 组 成 ， 或 仅 
由 称 作 一 个 增 量 区 域 传 递 (IXFR) 的 增 量 更 新 组 成 。 在 区 域 信息 是 相对 静态 的 并 从 
单一 源 更 新 的 情形 (例如 一 名 管理 员 ) 中 ,依据 需要 而 采用 AXFR 的 序列 号 检查 法 
运行 良好 。 这 些 所谓 的 静态 区 域 相 比 其 对 应 物 : 动态 区 域 ， 对 于 管理 员 而 言 ， 是 要 简 
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单 得 多 的 。 正 如 名 字 所 隐 仿 的， 动态 区 域 从 DHCP 服务 器 (比如) 接收 动态 更 新 ， 
以 新 指派 的 IP 地 址 和 相应 的 域名 更 新 DNS。 动 态 区 域 的 更 新 方法 可 利用 IXFR 机 制 ， 
在 主 服务 器 和 多 个 从 属 服务 器 间 维 持 同 步 。 

对 于 BIND 9， 在 每 台 服 务 器 上 的 日 志文 件 ， 可 提供 跟踪 区 域 信 息 动态 更 新 的 一 
种 高 效 方法 。 这 些 日 志文 件 是 相应 区 域 文件 的 临时 附属 物 ， 直 到 服务 需 将 这 些 日 志 表 
项 写 入 到 区域 文件 并 重新 载 和 人 区 域 信息 之 前 ， 支 持 动态 更 新 的 跟踪 记录 。 许 多 服务 顺 
实现 将 区 域 文 件 信息 载 和 内存， 还 有 为 了 快速 解析 ， 它 也 将 增 量 区 域 更 新 载 人 内 存 。 
我 们 将 在 本 章 后 面 详 细 讨论 服务 器 和 区 域 信息 ， 但 首先 让 我 们 考虑 不 同 种 类 的 域 树 
结构 。 


9.3.2 REH 


直到 此 时 ， 我们 介绍 了 常见 的 名 字 到 IP 地 址 的 解析 过 程 ， 它 为 一 个 名 字 解 析 定 
位 一 台 权 威 的 DNS 服务 器 ， 该 服务 器 之 后 对 查询 做 出 权威 响应 。 查 询 的 男 一 种 普遍 
形式 是 IP 地 址 到 名 字 的 解析 。 解 析 的 这 种 “ 反 向 (Reverse)” 形 式 被 普遍 用 作 一 种 
安全 检查 ， 是 当 建 立 虚拟 专用 网 (VPN) 连接 或 通用 的 IP 地 址 到 主机 名 查找 时 才 使 
用 的 。 给 定 一 个 全 地址 ,一 台 DNS 服务 器 如 何 遍 历 域 树 来 找到 一 个 主机 域名 呢 ? 在 
称 作 地 址 和 路 由 参数 区 (ARPA) 的 域内 为 基于 IP 地 址 的 域 树 定义 了 特殊 的 顶层 域 : 
为 IPv4 地 址 到 名 字 解 析 定 义 的 in-addr arpa, 为 IPv6 地 址 到 名 字 解 析 定 义 的 


ip6. arpa® 。 
.nl /.arpa \ .com 
pc52.eng.ipamworldwide.com. 9 
详细 的 


个 体 主 机 m 根 域 
树叶 比较 详细 的 ”不 太 详 细 的 。 树 项 


in—addr 
P 192.0.2.203 
网 络 <IRE ER 4 主机 192 | 
: 比较 
> pa 2 | 详细 的 
材 叶 EAA p NN 
202 203 204 


图 9-4 IP 地 址 反 向 域 树 映射 11 


在 一 个 域 树 内 组 织 IP 地 址 的 唯一 缺陷 来 自 于 映射 一 个 耳 地 址 ， 它 从 左 到 右 读 ， 
即 从 不 太 详 细 的 〈 网 络 ) 到 比较 详细 CIP 主机 ) 信息 ， 而 读 取 一 个 域名 是 从 左 到 右 ， 
先是 比较 具体 的 〈 特 定 主机 、 域 ) 到 不 太 具 体 的 〈 根 )。 因 此 , 将 下地 址 反 向 ,以 
便 支持 域 层次 结构 内 部 的 表示 ， 从 左 到 右 读 取 ， 从 比较 具体 的 信息 到 不 太 具 体 的 信 
息 。 在 图 9-4 中 对 此 进行 了 形象 地 图 示 。 


四 ”从 技术 角度 看 ， 这 些 都 是 ，arpa. TLD 的 子 区 域 。 
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您 可 能 注意 到 ， 点 分 十 进 制 表示 的 映射 方法 ， 支 持 反 向 域 到 基于 字 节 边界 的 网 络 
分 配 的 映射 。 例 如 ， 如 果 我 们 被 分 配 一 个 C 类 网 络 192. 0. 2. 0/24 作为 我 们 的 公共 空 
间 ， 就 可 容易 2 地 将 如 上 所 示 的 in-addr. arpa. 域 的 叶子 映射 到 个 体 主 机 。 就 像 主 机 名 
的 解析 一 样 ， 对 in-addr. arpa. 域 树 的 遍历 遵循 对 地 址 到 名 字 查 询 的 权威 解析 的 一 个 
类 似 过 程 。 指 针 (PoinTeR, PTR) 资源 记录 ， 提 供 从 地 址 到 主机 的 一 个 映射 ,我 们 
将 在 下 一 章 中 讨论 。 

但 如 果 我 们 被 分 配 的 子 网 不 在 字 节 边界 ， 情 况 会 如 何 呢 ? 例如 ， 如 果 我 们 被 分 配 
一 个 /23 子 网 ， 而 不 是 一 个 /24 子 网 ， 则 网 络 地 址 可 被 表示 为 192. 0. 2.0/23。 这 个 /23 
子 网 实际 上 由 两 个 /24 网 络 组 成 : 192. 0. 2.0/24 和 192. 0.3.0/24。 对 应 于 这 些 字 节 归 
一 化 (normalized) 的 网 络 地 址 的 两 个 反 向 域 2.0.192. in-addr arpa 和 3. 0. 192. in- 
addr. arpa， 将 需要 配置 在 DNS 内 部 ， 从 而 允许 这 个 /23 网 络 内 主机 的 反 向 查找 。 

如 果 所 分 配 的 子 网 要 比 一 个 C 类 网 络 小 ， 则 需要 一 种 更 复杂 的 表示 和 区 域 文 件 
配置 。 举 个 例子 ， 假 定 我 们 为 一 个 远 端 办 事 处 分 配 一 个 子 网 192. 0. 2. 0/25。 如 果 我 们 
尝试 将 对 应 的 反 向 域 表 示 为 2. 0. 192. in-addr. arpa， 这 将 包括 192. 0. 2. 0/24 网 络 的 期 
望 的 一 半 网 络 ， 但 也 包括 了 该 网 络 的 “ 另 一 半 ” 网 络 ， 即 192. 2. 128. 25 网 络 。 但 这 
另 一 半 网 络 可 能 分 配给 了 一 个 不 同 的 组 织 机 构 ， 它 有 其 自己 的 DNS 权威 (授权 ) 
(authority) 。 在 那 种 情形 中 ， 为 有 类 的 (classful) 反 向 区 域 分 割 到 了 两 个 权威 机 
构 ， 那 么 谁 将 管理 这 个 有 类 的 (classful) 反 向 区 域 呢 ? 解决 方案 是 指明 ， 将 第 4 字 节 
的 那 部 分 对 应 到 反 向 域名 字 所 应 用 的 子 网 。 

REC 2317'” 规范 了 在 in-addr. arpa 区 域名 内 使 用 CIDR 表示 法 。 因 此 ， 直 接 将 各 
点 之 间 所 分 配子 网 的 号 码 反 向， 我 们 得 到 如 下 : 对 于 网 络 192.0.2.0/25， 对 应 的 反问 
域 是 0/25. 2. 0. 192. in-addr arpa, IA C 类 网 络 的 “ 另 一 半 ” 将 是 128/ 
25. 2. 0. 192. in-addr. arpa。 较 小 规格 的 子 网 将 遵循 一 种 类 似 的 表示 法 ， 它 使 用 网 络 地 
址 的 第 四 个 字 节 ， 接 着 是 / < 网 络 规格 > ， 接 着 是 IP 地 址 反 向 的 其 他 三 个 字 节 ， 之 后 
附 接 上 in-addr arpa, 

但 当 一 个 解析 器 发 出 一 条 查询 时 ， 它 将 以 185. 2. 0. 192. in-addr arpa. 的 形式 查询 
一 个 特定 的 地 址 (PTR 记录 ) ， 那 么 在 128/25. 2. 0. 192. in-addr. arpa 的 情形 中 ， 我 们 
如 何 将 这 个 查询 映射 到 合适 的 区 域 文件 呢 ? 解决 方法 是 (call for) ， 使 用 父 区 域 
(2.0. 192. in-addr arpa. ) 中 的 规范 名 (CNAME) 记录 ， 有 选择 地 指向 合适 的 被 委托 
区 域 ， 每 个 被 委托 区 域 可 能 由 独立 的 DNS 管理 员 所 管理 。 一 个 CNAME 记录 用 作 一 条 
给 定 记录 的 一 个 别名 ， 之 后 引导 查询 器 查询 该 别名 。 在 这 种 情形 中 ， 需 要 针对 每 个 个 
体 IP 地 址 产生 一 条 CNAME 记录 ， 并 映射 到 一 个 对 应 的 REC 2317 风格 的 反 向 区 域 ， 


外 ”当然 “容易 ”是 一 个 相对 的 术语 ， 但 一 旦 您 熟悉 了 反 向 域 ， 则 至 少 这 样 的 有 类 网 络 是 容易 可 视 化 
为 反 向 域 的 。 
虽然 RFC 2317 规范 了 在 这 些 域 名 内 使 用 斜 线 (/) ， 但 许多 DNS 管理 员 以 短线 (-) 替换 之 ， 目 
的 是 将 区 域名 与 文件 名 关联 起 来 ， 文 件 名 是 不 能 包含 斜 线 的 。 因 此 ， 我 们 可 将 这 个 区 域 表示 为 0- 
25. 2. 0. 192. in-addr. atpa， 它 定义 在 区 域 文件 db. 0-25. 2. 0. 192. in-addr. arpa 内 。 下 面 我 们 将 遵循 
RFC 2317 ， 但 短线 也 是 可 以 使 用 的 。 
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这 种 做 法 支持 将 各 子 网 的 记录 委托 给 不 同 的 子 区 域 管理 员 。 


2.0. 


区 


让 我 们 看 看 ， 在 我 们 的 范例 情形 中 ,这 是 如 何 工作 的 。 在 对 应 于 这 个 
192. in-addr. arpa. 区 域 的 父 区 域 文件 内 ， 我 们 将 配置 如 下 信息 2 。 
2. 0. 192. in-addr. arpa. IN SOA dns. ipamworldwide. com. 


admin. ipamworldwide. com. ( 1 2h 30m 1w Id ) 


$ ORIGIN 2. 0. 192. in- addr. arpa. //implicit( 隐 式 的 ) 

0/25 IN NS dns. Al. ipamworldwide. com. //authoritative servers ( 权威 服务 器 ) 
IN NS dns. A2. ipamworldwide. com. // for 0/25 

1 IN CNAME 1. 0/25. 2. 0. 192. in-addr. arpa. 

2 IN CNAME 2. 0/25. 2. 0. 192. in- addr. arpa. 

3 IN CNAME 3. 0/25. 2. 0. 192. in-addr. arpa. 


127 IN CNAME 127. 0/25. 2. 0. 192. in- addr. arpa. 
128/25 IN NS dns. B1. ipamworldwide. com. //authoritative servers ( 权威 服务 器 ) 
IN NS dns. B2. ipamworldwide. com. // for 128/25 
IN CNAME 129. 128/25. 2. 0. 192. in-addr. arpa. 
130 IN CNAME 130. 128/25. 2. 0. 192. in- addr. arpa. 
IN CNAME 131. 128/25. 2. 0. 192. in- addr. arpa. 


254 IN CNAME 254. 128/25. 2. 0. 192. in-addr. arpa. 
依据 标准 的 域 树 遍历 过 程 ， 当 发 出 查询 的 名 字 服 务 器 查询 2. 0. 192. in- addr. arpa. 


域 的 权威 DNS 服务 器 时 ， 在 相应 DNS 服务 器 上 如 上 所 见 的 文件 并 不 提供 一 个 解析 ， 


而 是 下 一 步 又， 将 期 望 的 卫 地 址 应 答 ， 通 过 一 条 CNAME 记录 ， 指 向 另 一 个 FQDN。 
迄今 为 止 的 过 程 中 ， 对 IP 地 址 192. 0. 2. 185 的 主机 名 的 查询 ， 将 得 到 指向 185. 128/ 
25. 2. 0. 192. in-addr. arpa 的 一 个 CNAME。 我 们 也 知道 要 问 谁 来 解析 这 条 查询 ， 原 因 
是 有 两 条 NS 记录 列 为 关联 域 128/25.2.0.192.in-addr.arpa 的 权威 ， 即 


dns. B1. inparworldwide. com 和 dns. B2. iparmworldwide. com, 


在 这 些 服务 器 上 的 相应 128/25. 2. 0. 192. in-addr. arpa. 区 域 文件 将 包含 如 下 信息 。 
128/25. 2. 0. 192. in-addr. arpa. IN SOA dns. B1. ipamworldwide. com. 

admin. ipamworldwide. com. ( 1 2h 30m 1w 1d ) 

128/25. 2. 0. 192. in- addr. arpa. IN NS dns. B1. ipamworldwide. com. 

128/25. 2. 0. 192. in- addr. arpa. IN NS dns. B2. ipamworldwide. com. 

129. 128/25. 2. 0. 192. in- addr. arpa. IN PTR publicl. ipamworldwide. com. 

130. 128/25. 2. 0. 192. in- addr. arpa. IN PTR public2. ipamworldwide. com. 

131. 128/25. 2.0. 192. in- addr. arpa. IN PTR www. ipamworldwide. com. 


”在 本 书 中 的 DNS 配置 文件 名 范例 都 使 用 BIND DNS 格式 54 
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或 使 用 “相对 ”域名 的 缩写 格式 。 

@ INSOA dns. B1. ipamworldwide. com. admin. ipamworldwide. com. (1 2h30m 
lw ld ) 

// Implicit $ ORIGIN 128/25. 2. 0. 192. in- addr. arpa. 

IN NS dns. B1. ipamworldwide. com. 

N NS dns. B2. ipamworldwide. com. 

129 IN PTR publicl. ipamworldwide. com. 

130 IN PTR public2. ipamworldwide. com. 

131 IN PTR www. ipamworldwide. com. 


— 


185 IN PTR server-x. ipamworldwide. com. 

查询 这 个 区 域 文 件 ， 查 找 这 个 被 索引 的 CNAME 别名 到 185. 128/25. 2. 0. 192. in- 
addr. arpa. ， 我 们 找到 PTR 记录 ， 它 指向 关联 的 主机 名 server-x. ipamworldwide. com, 
这 就 完成 了 解析 。 

对 于 大 于 C 类 网 络 的 非 字 节 边界 的 网 络 ( 即 /9 ~/15 和 /17 ~/23) , ， 可 使 用 域 别 
名 (DNAME) 记录 。 例 如 ，172. 16.0.0/14 网 络 就 可 被 分 配 并 委托 给 工程 组 的 一 名 
管理 员 。 有 关 这 个 网 络 的 反 向 查询 可 指向 到 工程 组 的 DNS 服务 器 ， 按 照 如 下 范例 是 
dns [1-2] . eng. ipamworldwide. com, 被 配置 在 172. in- addr. arpa. 区 域 文件 内 。 

16/14. 172. in-addr. arpa. IN NS dnsl. eng. ipamworldwide. com 

16/14. 172. in- addr. arpa. IN NS dns2. eng. ipamworldwide. com 

16. 172. in- addr. arpa. IN DNAME 16. 16/14. 172. in- addr. arpa. 

17. 172. in- addr. arpa. IN DNAME 17. 16/14. 172. in- addr. arpa. 

18. 172. in- addr. arpa. IN DNAME 18. 16/14. 172. in- addr. arpa. 

19. 172. in- addr. arpa. IN DNAME 19. 16/14. 172. in- addr. arpa. 

这 些 表 项 将 所 有 四 个 /16 网 络 (组 成 工程 组 的 /14 网 络 ) 的 反 向 查找 委托 给 他 们 
的 DNS 服务 器 ， 由 上 所 示 的 前 两 条 记录 指明 。 接 下 来 的 四 条 记录 将 这 四 个 /16 反 向 域 
映射 到 这 个 被 委托 的 16/14. 172. in-addr. arpa. bk, 

本 质 上 ， 我 们 在 反 向 树 中 搬入 了 一 个 人 为 制造 的 层 ， 用 作 一 个 合并 ( consolida- 
tion) 点 。 因 此 ， 为 了 解析 IP 地 址 为 172. 18. 45. 94 的 一 台 主 机 的 PTR 记录 ， 解 析 名 
字 服 务 器 将 沿 172. in-addr. arpa. 树 癌 下 遍历。 向 下 的 下 一 个 节点 18. 172. in- 
addr. arpa. ， 依 据 DNAME 查找 ， 具 有 18. 16/14. 172. in-addr. arpa， 的 一 个 域 别名 。 接 
下 来 ， 通过 查询 dnsl. eng. ipamworldwide. com 的 DNS 服务 器 〈 它 是 16/14. 172. in- 
addr. arpa. 区 域 的 权威 服务 器 ) ， 则 我 们 在 这 个 区 域内 解析 相应 的 PTR 表 项 。 

94.45. 18. 172. in-addr. arpa. IN PTR host. eng. ipamworldwide. com. 


9.3.3 IPv6 RII 


IPv6 反 向 域 映射 要 有 点 麻烦 。 和 IPv4 的 情况 一 样 ，IPv6 地 址 必须 被 反 向 ， 依 此 
维持 其 十 六 进 制 格式 。 但 IPv6 地 址 首先 必须 被 “填充 ”到 完全 的 32 个 十 六 进 制 数字 
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形式 ， 即 在 第 2 章 中 讨论 的 两 种 缩写 形式 必须 被 消除 ， 方 法 是 在 冒号 之 间 包 括 前 导 
零 ， 并 将 双 冒 号 表示 的 隐 含 零 填 充 到 位 。 图 9-5 形象 地 说 明了 IPv6 地 址 2001; DB8: 
B7:: A8E1 的 一 个 范例 过 程 。 地 址 必须 被 扩展 或 填充 ， 各 个 数字 要 做 反 向 处 理 。 之 
后 ， 必 须 对 这 个 结果 做 “ 域 化 ”处 理 ， 方 法 是 消除 冒号 ， 在 每 个 数字 之 间 插 人 点 号 
(. ) ， 并 附加 ip6. arpa. 顶层 域 。 


2001:DB8:B7::A8EI1 
扩展 
2001:0DB8:00B7:0000:0000:0000:0000:A8E1 
反 向 
1E8A:0000:0000:0000:0000:7B00:8BD0 :1002 


域 化 
1.E.8.A.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.7B.0.0.8.B.D.0.1.0.0.2.ip6.arpa. 


图 9-5 ”IPv6 地 址 到 反 向 域 的 映射 


图 9-6 形象 地 说 明了 对 IPv6 地 址 反 向 的 逻辑 ， 目 的 是 将 其 表示 在 一 个 域 层次 结 
构 中 ， 从 左 到 右 读 取 时 ， 是 从 比较 具体 的 信息 到 不 太 具 体 的 信息 顺序 的 。 这 可 直接 类 
比 于 图 9-4， 那 个 图 形象 地 说 明了 用 于 IPv4 地 址 的 这 个 概念 。 在 图 9-6 中 所 用 的 完全 
的 32 个 十 六 进 制 数字 形式 ， 提 供 了 沿 ip6. arpa. 域 树 向 下 的 一 个 唯一 的 〈 虽 然 有 点 
K) 的 遍历 〈 在 图 中 没有 画 出 ) 。 


2001:DB8:B7::A8E1 
网 络 不 大 比较。 主机 


详细 的 详细 的 
1.E.8.A.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.7.B.0.0.8.B.D.0.1.0.0.2.ip6.arpa. 
个 体 正 比较 不 太 根 域 
树叶 详细 的 详细 的 树 顶 


图 9-6 IPv6 反问 域 表示 法 


注意 这 个 范例 形象 地 说 明了 一 个 完全 128bit IPv6 地 址 的 反 向 域 表 示 。 和 IPv4 中 
一 样 ， 各 子 网 可 具有 对 应 的 反 向 域 定义 。 对 于 一 个 /64 分 配 ， 仅 有 开始 的 64bit (16 
个 十 六 进 制 数字 ) 可 被 包括 在 内 。 因 此 ， 对 于 上 面 的 主机 ， 其 /64 子 网 反 向 区 域 表 示 
将 被 定义 为 

0. 0. 0. 0.7. B. 0. 0. 8. B. D. 0. 1. 0. 0. 2. ip6. arpa. 

对 于 在 非 尼 伯 边界 上 分 配 的 IPv6 网 络 的 反 向 域 表示 方法 ， 在 RFC 2317 中 没有 得 
到 正式 解决 ; 但 是 ， 在 规范 中 确定 的 相同 技术 可 被 映射 到 对 应 于 非 尼 伯 边界 的 IPv6 
地 址 块 分 配 的 IPv6 反 向 区 域 。 让 我 们 以 范例 形象 地 说 明 这 点 。 假 定 北 美 团队 (team) 
期 望 从 其 2001: db8: 4af0: 8000:: /52 地 址 块 分 配 四 个 /54 地 址 块 ， 即 2001; dbs: 
4af0: 8000:: /54, 2001: db8: 4af0: 8400:: /54、2001: db8: 4af0: 8800:: /54 和 
2001: db8: 4af0: 8c00:: /54。 使 用 CNAME 资源 记录 的 方法 ， 将 查询 器 指向 负责 对 
应 的 反 向 区 域 的 服务 器 ， 则 8. 0.f a 4. 8. b. d. 0. 1.0.0. 2. ip6. arpa 区 域 文件 看 起 来 有 
点 像 下 面 的 内 容 。 

8.0. f. a. 4. 8. b. d. O. 1. 0. 0. 2. ip6. arpa. IN SOA dns. ipamworldwide. com. 
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admin. ipamworldwide. com. ( 1 2h 30m 1w 1d ) 

$ ORIGIN 8. 0. f. a. 4. 8. b. d. 0. 1. 0. 0. 2. ip6. arpa. //implicit ( 隐 式 的 ) 

0/54 IN NS dns. Al. ipamworldwide. com. //authoritative servers ( 权威 服务 器 ) 
IN NS dns. A2. ipamworldwide. com. // 对 于 2001 :db8 :4af0 :8000: : 

/54 


0 IN CNAME 0. 0/54. 8. 0. f. a. 4. 8. b. d. 0. 1. 0. 0. 2. ip6. arpa. 

1 IN CNAME 1. 0/54. 8.0. f. a. 4. 8. b. d. 0. 1. 0. 0. 2. ip6. arpa. 

2 IN CNAME 2. 0/54. 8. 0. f. a. 4. 8. b. d. 0. 1. 0. 0. 2. ip6. arpa. 

3 IN CNAME 3. 0/54. 8. 0. f. a. 4. 8. b. d. 0. 1. 0. 0. 2. ip6. arpa. 

4/54 IN NS dns. B1. ipamworldwide. com. //authoritative servers ( XIRAR 48 ) 
IN NS dns. B2. ipamworldwide. com. // 对 于 2001 :db8 :4af0 : 


8400; :/54 

4 IN CNAME 4. 4/54. 8.0. f. a. 4. 8. b. d. 0. 1. 0. 0. 2. ip6. arpa. 

5 IN CNAME 5. 4/54. 8.0. f. a. 4. 8. b. d. 0. 1. 0. 0. 2. ip6. arpa. 

6 IN CNAME 6. 4/54. 8. 0. f. a. 4. 8. b. d. 0. 1. 0. 0. 2. ip6. arpa. 

7 IN CNAME 7. 4/54. 8.0. f. a. 4. 8. b. d. 0. 1. 0. 0. 2. ip6. arpa. 

8/54 IN NS dns. C1. ipamworldwide. com. //authoritative servers ( AKIRA 4 ) 

INNSdns. C2. ipamworldwide. com. // 对 于 2001 :db8 :4af0 :8800 : :/54 

8 IN CNAME 8. 8/54. 8. 0. f. a. 4. 8. b. d. O. 1. 0. 0. 2. ip6. arpa. 

9 IN CNAME 9. 8/54. 8. 0. f. a. 4. 8. b. d. 0. 1. 0. 0. 2. ip6. arpa. 
IN CNAME a. 8/54. 8. 0. f. a. 4. 8. b. d. 0. 1. 0. 0. 2. ip6. arpa. 

b IN CNAME b. 8/54. 8. 0. f. a. 4. 8. b. d. 0. 1. 0. 0. 2. ip6. arpa. 

c/54 IN NS dns. D1. ipamworldwide. com. //authoritative servers ( AKIRA 4 ) 
INNSdns. D2. ipamworldwide. com. // 对 于 2001 ; db8 :4af0 :8c00 ; :/54 
I 
I 
I 


a 


(e) 


CNAME c. c/54. 8. 0. f. a. 4. 8. b. d. 0. 1. 0. 0. 2. ip6. arpa. 
CNAME d. c/54. 8. 0. f. a. 4. 8. b. d. 0. 1. 0. 0. 2. ip6. arpa. 
N CNAME e. c/54. 8. 0. f. a. 4. 8. b. d. O. 1. 0. 0. 2. ip6. arpa. 

f IN CNAME f. ¢/54. 8. 0. f. a. 4. 8. b. d. O. 1. 0. 0. 2. ip6. arpa. 

HIREA E E, R A FR SS AAH 8. 0. f a. 4. 8. b. d. 0. 1. 0. 
0. 2. ip6. arpa. 区 域 的 权威 DNS 服务 器 时 ， 在 对 应 DNS 服务 器 上 的 上 述 文件 ， 提 供 的 
不 是 一 个 解析 ， 但 下 一 步 ， 通 过 一 个 CNAME 记录 ， 将 期 望 的 IPv6 地 址 答案 指向 另 一 
个 FQDN。 在 迄今 为 止 的 过 程 中 ， 请 求 IP 地 址 为 2001: db8: 4af0; 8d03:: f6 的 主机 
名 的 一 条 PTR 查询 ， 得 到 指向 d. c/54. 8.0. f. a. 4. 8. b. d. 0. 1. 0.0. 2. ip6. arpa 的 一 个 
CNAME。 我 们 也 知道 为 解析 这 条 查询 要 问 谁 ， 原 因 是 有 两 条 NS 记录 被 列 为 这 个 域 的 
权威 ， 即 dns. D1. ipamworldwide. com 和 dns. D2. ipamworldwide. com, 

在 这 些 服务 器 上 对 应 的 d. c/54. 8.0. f. a. 4. 8. b. d. 0. 1. 0. 0. 2. ip6. arpa. 区 域 文 件 ， 
将 包含 如 下 内 容 。 

c/54. 8.0. f. a. 4. 8. b. d. 0. 1. 0. 0. 2. ip6. arpa. IN SOA dns. D1. ipamworldwide. com. 


N 
N 


a 
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admin. ipamworldwide. com. ( 1 2h 30m 1w 1d ) 
IN NS dns. D1. ipamworldwide. com. 
IN NS dns. D2. ipamworldwide. com. 
1. 0. b. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 3. 0. c IN PTR publicl. ipamworldwide. com. 
0. 2.0. a. 4. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 3. 0. c IN PTR public2. ipamworldwide. com. 
f. c. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 3. 0. d IN PTR www. ipamworldwide. com. 


6. f. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 3.0. d IN PTR server-y. ipamworldwide. com. 

为 这 个 索引 的 CNAME 别名 ， 即 6.f 0. 0. 0. 0. 0. 0. 0. 0. 0.0. 0.0. 0.0. 3. 0. d. ce/54. 
8.0. f. a. 4. 8. b. d. 0. 1. 0. 0. 2. ip6. arpa. ， 查 询 这 个 区 域 文件 ， 我 们 发 现 PTR 记录 指向 
关联 的 主机 名 server-y. ipamworldwide. com， 这 就 完成 了 解析 。 


9.3.4 其 他 区 域 


(1) 根 线索 。 在 解析 过 程 的 综述 中 ,我 们 提 到 了 一 个 线索 文件 。 这 个 文件 应 该 
提供 DNS 服务 器 名 和 地 址 的 一 个 列表 (以 NS、A 和 AAAA 资源 记录 的 形式 提供 )， 
如 果 解 析 融 查询 不 能 通过 权威 的 、 转 发 的 或 缓存 的 数据 得 到 解析 ， 则 服务 右 应 该 查询 
这 个 列表 。 典 型 情况 下 ， 线 索 文件 将 列 出 因特网 根 服务 器 (多 台 服 务 器 )， 它 们 是 域 
树 之 根 (. ) 的 权威 服务 器 。 为 了 定位 要 解析 查询 的 一 台 权 威 服务 器 ， 对 一 台 根 服务 
器 的 查询 的 做 法 ， 使 发 出 查询 的 服务 器 从 顶部 开始 ， 沿 域 树 向 下 开始 遍历 。 因 特 网 根 
服务 器 的 根 文 件 内 容 可 从 www. internic. net /zones/ named. root 得 到 ， 虽 然 BIND 和 微 
软 DNS 服务 器 实现 在 它们 的 发 布 时 就 包括 了 这 个 文件 。 

如 我 们 将 在 第 11 章 讨论 的 ， 一 些 环境 会 要 求 使 用 根 服务 器 的 一 个 内 部 集合 ， 其 
中 因特网 访问 受到 组 织 机 构 策略 的 限制 。 在 这 种 情形 中 ， 可 使 用 线索 文件 的 一 个 内 部 
版 本 ， 它 列 出 内 部 服务 器 〈 而 不 是 因特网 根 服务 器 ) 的 名 字 和 地 址 。 组 织 机 构 自 己 
将 需要 维护 内 部 根 服务 器 的 列表 及 其 必要 的 (requisite) 根 区 域 配置 。 

(2) 本 地 主机 区 域 。 证 明 必 不 可 少 的 男 一 个 区 域 文件 是 本 地 主机 区 域 。 本 地 主 
机 区 域 使 在 给 定 服务 器 上 将 “localhost” 解 析 为 一 个 主机 名 。 一 个 相应 的 in- 
addr. arpa. 区 域 文 件 解 析 127. 0. 0. 1 回环 地 址 。 在 0. 0. 127. in-addr. arpa 区 域内 的 单一 
表 项 将 地 址 1 映射 到 主机 自己 。 需 要 这 个 区 域 的 原因 是 ， 对 于 127. in-addr. arpa 域 或 
子 域 ， 是 不 存在 上 游 (upstream) 权威 的 。 类 似 地 ， 对 于 相应 的 IPv6 回环 地 址 :: 1, 
需要 定义 IPv6 等 价 物 。 主 机 名 区 域 简单 地 将 本 地 主机 名 映射 到 其 127.0.0.1 或 :: 1 
等 IP 地 址 ， 分 别 使 用 一 条 A 和 一 条 AAAA 记录 。 


9.4 解析 器 配置 


就 像 DHCP 事务 一 样 ，DNS 解析 发 生 在 后 台 ， 并 涉及 一 个 客户 端 和 一 个 服务 器 。 
理想 情况 下 ,终端 用 户 甚 至 都 不 知道 它 发 生 过 ; 他 们 键入 一 个 web 地 址 并 连接 。 人 解析 
器 软件 必须 配置 有 解析 时 要 查询 的 DNS 服务 器 ( 可 能 是 多 人 台 服 务 器 )。DHCP 不 要 求 
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初始 客户 端 配置 (原因 是 它 只 需 简单 地 向 一 个 周知 的 地 址 广播 或 组 播 即 可 ) ， 因 此 ， 
与 此 不 同 的 是 ， 在 使 用 之 前 ，DNS 确实 需要 某 种 基本 的 客户 端 配 置 。 这 种 初始 配置 
可 采取 人 工 完成 或 从 一 台 DHCP 服务 器 得 到 这 个 信息 来 完成 。 
图 9-7 形象 地 说 明了 一 个 微软 Windows 解析 器 的 配置 ， 它 采取 人 工 定 义 要 查询 的 
DNS 服务 器 ， 或 使 用 DHCP 自动 地 得 到 DNS 服务 器 地 址 。 

微软 Windows 在 其 图 形 界面 内 可 配置 要 查询 的 多 台 DNS 服务 器 表 项 。 注 意 , 在 
图 9-7 右 侧 的 屏幕 上 所 示 的 “ 蛮 力 ”(brute force) 方法 中 有 两 个 表 项 ， 一 个 表 项 用 于 
首选 ， 另 一 个 表 项 是 替代 表 项 。 以 特定 顺序 单 击 高 级 标签 (tab) 就 激活 了 两 个 以 上 
的 表 项 。 我 们 建议 ， 为 解析 器 至 少 要 配置 两 台 DNS 服务 器 ， 以 便 预防 一 台 DNS 服务 
右 不 能 工作 的 情形 ， 这 时 解析 器 将 自动 地 查询 一 台 替 代 服 务 器 。 如 果 “ 自 动 得 到 
DNS 服务 需 地 址 ” (Obtain DNS server address automatically) 单 选 按钮 被 选中 ， 如 图 9- 
7 所 示 ， 则 解析 器 将 通过 DHCP 得 到 DNS 服务 器 的 一 个 列表 。 
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图 9-7 Microsoft Windows 操作 系统 上 ， 要 被 查询 的 DNS 服务 器 IP 地 址 配置 


在 基于 UNIX 或 Linux 操作 系统 上 ，/etc/resolv. conf 文件 是 可 编辑 的 ， 以 此 配置 
解析 器 。 在 这 个 文件 中 的 关键 参数 是 指向 DNS 服务 器 的 一 个 或 多 个 nameserver 声明 语 
句 ， 但 许多 选项 和 附加 指令 (directive) 支持 进一步 的 配置 细 化 ， 如 下 描述 。 斜 体 文 
本 应 该 由 实际 索引 的 数据 替换 ， 例如，domain 应 该 以 一 个 DNS 域名 替换 。 

(1) nameserver IP_address 。 查 询 名 字 解 析 的 一 台 递 归 DNS AR 48 HY IP 地 址 ; 人 允 
许 并 鼓励 有 多 个 nameserver 表 项 。nameserver 表 项 指令 解析 器 到 哪里 去 指向 (direct) 
DNS 查询 。 

(2) domain domain, DNS 域 ， 是 这 台 主 机 所 在 的 域 ， 在 主机 上 安装 了 这 个 解析 
器 。 相 对 于 完全 合格 的 主机 域名 而 言 ， 当 解析 相对 主机 名 时 使 用 这 个 选项 。 

(3) search domain (s)。 多 达 六 个 域 的 搜索 列表 ， 到 这 些 域 搜索 输入 的 主机 
名 ， 以 便 进行 解析 。 因 此 ， 如 果 我 们 键入 www 进行 解析 ， 则 解析 器 将 后 续 地 将 这 
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个 参数 中 配置 的 域 附加 其 后 ， 以 便 尝 试 解析 该 查询 。 如 果 在 resolv. conf 中 存在 表 项 
search ipamworldwide. com. ， 表 项 www 将 得 到 www. ipamworldwide. com 的 一 个 解析 
尝试 。 

(4) sortlist address/mask list。 依 据 地 址 / 掩 人 码 组 合 的 指派 列表 ， 支 持 被 解析 IP 地 
址 的 排序 。 这 使 在 针对 一 条 查询 返回 多 个 IP 地 址 时 ， 解 析 器 可 选择 一 个 “ 较 近 的 ” 
目的 地 。 

(5) options。 在 下 面 各 项 参数 之 前 的 关键 字 ， 这 些 参数 支持 规范 相应 的 解析 器 参 
数 ， 包 括 如 下 参数 。 

1) debug。 打 开 调 试 。 

2) ndots mn。 解析 需 将 考虑 分 析 之 前 ， 在 所 要 求 输入 名 内 部 ， 为 点 号 数 定义 一 个 
闵 值 ， 被 输入 的 名 字 简 单 地 是 一 个 主机 名 或 一 个 合格 的 域名 。 当 考虑 一 个 主机 名 时 ， 
将 被 查询 的 主机 名 ， 其 后 将 附加 domain 或 search 参数 内 确定 的 域名 。 

3) timeout n。 在 认为 查询 失败 之 前 ， 查 询 尝 试 的 次 数 。 

4) rotate s 支持 在 nameserver 指令 内 所 配置 的 DNS 服务 器 间 实施 轮转 查询 。 每 
次 查询 将 被 发 送 到 一 台 不 同 的 服务 器 ， 并 如 此 循环 进行 。 

5) no-check-names。 关 闭 对 要 被 解析 的 输入 主机 名 的 名 字 检 查 。 正 常情 况 下 ， 
例如 ， 下 划 线 字符 是 不 允许 出 现 的 ， 所 以 设置 这 个 选项 ， 就 可 在 不 对 输入 主机 名 进行 
验证 的 情况 下 ， 使 查询 处 理 继续 进行 。 

6) inet6。 使 解析 融 在 尝试 一 个 A 记录 查询 之 前 ， 为 解析 输入 的 主机 名 ， 发 出 针 
对 一 个 AAAA 记录 的 一 条 查询 。 

search 和 options 设置 也 可 在 每 个 进程 基础 上 ， 通 过 相应 的 环境 变量 设置 ， 并 加 以 
T iit 


9.5 DNS 消息 格式 


9.5.1 域名 的 编码 


到 此 为 止 ， 我 们 讨论 了 如 下 内 容 : 将 DNS 信息 组 织 成 一 个 域 层次 结构 ， 一 个 客 
户 端 或 解析 器 如 何 实施 解析 的 基础 知识 。 后 者 的 做 法 是 向 一 台 DNS 服务 器 发 出 一 条 
递归 查询 ，DNS 服务 器 接 下 来 依据 域 层 次 结构 ， 迭 代 地 发 出 查询 ， 目 的 是 得 到 查询 
的 答案 。 接 下 来 我 们 将 较 深 入 地 挖掘 DNS 查询 消息 格式 和 通用 的 消息 格式 ,但 首先 
我 们 将 介绍 DNS 消息 内 部 域名 的 表示 。 域 名 被 格式 化 为 标签 的 一 个 序列 。 各 标签 由 
如 下 各 项 组 成 : 一 个 字 节 的 长 度 字 段 ， 后跟 表 示 标 签 本 身 的 该 数量 CREE) 的 字 节 / 
美国 信息 交换 标准 码 (ASCI) 字符 。 这 个 标签 序列 以 长 度 字段 为 0 表示 根 “.” 域 
的 方式 终结 。 例 如 ，www. ipamworldwide. com. 的 标签 序列 看 起 来 将 像 如 下 的 ASCH 格 
式 ， 其 中 长 度 字 节 以 图 9-8 中 较 黑 阴影 突出 显示 。 

以 左上 开始 ， 第 一 个 长 度 字 节 的 数值 “3”， 指 明 后 跟 的 三 个 字 节 组 成 第 一 个 标 
签 “www”。 在 这 个 标签 之 后 的 第 五 个 或 下 一 个 字 节 是 我 们 的 下 一 个 长 度 字 节 ， 它 有 具 
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有 数值 “13”(0xD) ， 它 是 “ipamworldwide. ”的 长 度 。 在 这 个 标签 之 后 ， 后 跟 字 节 
的 数值 “3” 是 “com. ”的 长 度 。 最 后 ， 为 零 值 的 字 节 指明 根 “. ” 域 ， 这 就 完整 地 
使 域名 符合 要 求 了 。 注 意 ， 图 中 的 较 黑 阴影 字 节 被 编码 为 长 度 字 节 ， 以 便 将 主机 或 包 
含 数字 的 域名 字符 区 分 开 来 。 一 个 名 字 中 的 第 一 个 字 节 将 几乎 总 是 ”一 个 长 度 字 节 ， 
后 跟 那 么 多 字 节 (长 度 表 示 的 ) ， 来 表示 第 一 个 标签 的 ， 并 为 了 去 除 二 义 性 而 直接 后 
跟 另 一 个 长 度 字 节 。 


0 bit 78 15 16 24 31 


9-8 DNS 标签 


9.5.2 名字 压 缩 


一 个 给 定 的 DNS 消息 可 包含 多 个 域名 ， 其 中 许多 域名 可 能 具有 重复 的 信息 ， 例 
如 ipamworldwide. com. JAZ, DNS 规范 支持 消息 压缩 ， 目 的 是 降低 重复 信息 ， 因 此 就 
降低 了 DNS 消息 的 尺寸 。 这 是 如 下 方法 发 挥 作用 的 ， 方 法 是 使 用 到 DNS 消息 内 部 其 
他 位 置 的 指针 ,该 DNS 消息 确定 了 一 个 通用 的 域 后 级 。 之 后 将 这 个 域 后 级 附加 在 由 
指针 索引 位 置 的 位 置 点 。 

让 我 们 举 一 个 例子 ， 即 我 们 对 www. ipamworldwide. com. 的 查询 返回 一 对 DNS 服 
务 器 ， 可 用 其 查询 更 多 的 信息 : nsl. ipamworldwide. com. FI ns2. isp. com. 。 两 个 答案 
之 一 (第 一 个 答案 和 第 二 个 答案 ) ， 这 些 域名 的 ipamworldwide. com. 部 分 对 于 查询 是 
相同 的 ， 而 对 于 其 他 查询 仅 有 . com 部 分 是 相同 的 。 因 此 ， 消 息 是 如 下 形成 的 ， 方 法 
是 完整 地 确定 域名 www. ipamworldwide. com. ， 如 图 9-8 所 示 。 之 后 ， 当 确定 nsl 时 ， 
并 不 完整 地 确定 nsl. ipamworldwide. com, 仅 确 定 ns1 ， 后 跟 指 向 消息 中 前 面 ipamworld- 
wide. com. 后 级 的 一 个 指针 。 当 识别 ns2. isp. com 时 ， 确 定 ns2. isp 标签 ， 后 跟 指 向 消 
息 内 部 . com 后 级 的 一 个 指针 。 

DNS 解析 器 和 服务 器 如 何 将 一 个 指针 与 一 个 标准 的 标签 长 度 字 节 做 出 区 分 呢 ? 
DNS 标准 规定 每 个 标签 的 长 度 为 0 ~ 63 个 字 节 。 以 二 进 制 表示 ， 就 是 00000000 ~ 
00111111。 因 此 ， 前 2bit， 在 这 种 情形 中 是 【00],， 将 该 字 节 标识 为 一 个 标准 长 度 字 
节 ， 指 明 后 跟 标签 的 长 度 。 通 过 将 前 2bit 设置 为 [11],， 就 可 识别 一 个 指针 ， 它 由 两 
个 字 节 组 成 ， 其 中 [11], 后 跟 14bit， 识 别 从 DNS 首部 开始 的 字 节 偏 移 。DNS 消息 首 
部 的 第 一 个 字 节 被 看 做 字 节 0， 当 产生 消息 时 ， 指 针 是 这 样 定义 的 ， 即 从 这 个 点 开始 
的 字 节 偏 移 。 


外 ”正如 我 们 接 下 来 将 讨论 的 ， 长 度 字 节 也 可 由 一 个 两 字 节 指针 或 一 个 DNS 扩展 标签 组 成 。 
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图 9-9 采用 指针 的 名 字 压 缩 

让 我 们 看 看 这 是 如 何 从 我 们 前 边 的 例子 中 进行 映射 的 。 让 我 们 假定 从 DNS 首部 
的 第 12 字 节 开始 ,我们 包括 域名 www. ipamworldwide. com。 现 在 ， 在 消息 的 后 面 ， 从 
首部 开始 的 第 56 字 节 起 ， 我 们 希望 对 响应 nsl. ipamworldwide. com 和 ns2. isp. com 进行 
编码 。 

图 9-9 说 明了 这 看 起 来 是 什么 样 的 。 如 我 们 在 前 面 讨论 的 ， 第 一 部 分 是 长 度 字 节 
(黑色 阴影 ) 后 跟 对 应 数量 的 字 节 (亮色 阴影 ) 。 在 我 们 的 例子 中 ， 在 字 节 位 置 56 
处 ， 名 字 的 nsl 部 分 被 正常 地 编码 ， 使 用 的 是 标签 长 度 “3”， 后 跟 ns1 。 但 是 ， 下 一 
个 字 节 不 是 一 个 标准 的 长 度 字 节 ， 而 是 一 个 “ 双 字 节 ” 的 指针 ， 原 因 是 它 以 [11]， 
开始 ， 并 显示 为 图 中 的 黑色 阴影 。 在 该 指针 的 bit 偏 移 字 段 中 ， 编 码 的 数值 是 
“16”， 指 明 域 名 的 那 部 分 开始 于 从 DNS 首部 开始 的 第 16bit 字 节 偏 移 处 ， 这 部 分 域名 
应 该 附加 在 已 经 确定 的 nsl 标签 之 后 。 下 图 中 的 第 一 行 字 节 枚 举 了 各 字 节 偏 移 (和 斜 
体 ) ， 第 16 字 节 是 数值 为 “13” 的 长 度 字 节 ， 后 跟 ipamworldwide 的 编码 ， 再 后 跟 数 
值 为 “3” 的 一 个 长 度 字 节 ， 之 后 是 com， 再 后 是 “. ”( 数 值 “0” 的 长 度 字 节 ) 。 将 
这 些 串 接 在 一 起 ， 我 们 得 到 结果 : nsl. ipamworldwide. com。 

在 处 理 该 指针 之 后 ， 返 回 到 下 一 个 域名 ， 我 们 寻找 ns2. isp 的 编码 ， 后 跟 指 向 字 
节 偏 移 30 的 2 一 个 指针 ， 它 指向 字 节 长 度 “3”， 后 跟 com ， 这 就 完成 了 域名 
ns2. isp. com。 仅 考虑 这 三 个 范例 域名 ， 在 消息 中 由 域名 占据 的 字 节 数 可 被 压缩 ， 范 
围 是 59 ~39 个 字 节 。 

9.5.3 ”国际 域名 

DNS 解析 器 和 服务 器 以 ASCII 格式 的 消息 传递 主机 查询 和 响应 。 配 置信 息 是 以 
ASCII? 文 本 文件 形式 存储 的 。 不 幸 的 是 ，ASCII 字符 已 经 定义 用 来 有 效 地 表示 英语 ， 
它们 不 能 支持 其 他 语言 字符 的 格式 化 ， 特 别 是 使 用 非 拉 丁字 母 的 那些 语言 。 这 个 限制 
当然 影响 了 不 使 用 英语 的 国家 的 国民 方便 使 用 IP 应 用 的 便利 性 。RFC 3490 是 一 个 


”注意 上 面 以 黑色 所 示 的 双 字 节 指 针 ， 被 显示 为 其 字 节 方式 的 十 进 制 数 表示 ， 在 我 们 的 例子 中 ， 按 照 惯 
显示 为 第 2 字 节 中 以 十 进 制 表示 的 偏 移 。 但 仅 明显 地 陈述 一 下 ， 当 解析 一 个 指针 时 ， 不 要 仪 依赖 于 这 
2 字 节 ， 原 因 是 一 个 指针 数值 可 从 0 21) 24 =16384， 在 这 个 最 大 值 处 ， 十 进 制 表示 将 为 255-255。 

© REC 267308] 最初 是 一 个 标准 跟踪 方式 的 RFC， 它 定义 了 在 DNS 名 字 内 使 用 二 进 制 数据 ， 但 RFC 
3363! '83) RFC 2673 重 返 置 为 (reverted) 试验 状态 。 


È 
$ 宣 
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标准 跟踪 RFC， 它 解决 了 这 项 限制 2 。 

该 RFC 被 称 作 应 用 中 的 域名 的 国际 化 (IDNA) 。 名 字 中 “应 用 中 ”这 个 修饰 语 
暗示 了 在 这 个 过 程 中 涉及 应 用 。 确 实 ， 对 应 用 (例如 浏览 器 或 电子 邮件 客户 端 ) 施 
加 了 责任 (onus) ， 它 将 用 户 的 母语 项 转换 为 一 个 基于 ASCII 的 字符 串 ， 为 进行 解析 
而 将 其 传递 到 一 台 DNS 服务 器 上 。 这 种 巧妙 的 方法 使 应 用 层 针 对 终端 用 户 而 支持 国 
际 字符 集成 为 可 能 ， 而 并 不 影响 DNS 协议 (或 其 他 基于 ASCH 的 了， 如 SMTP)。 现 
有 DNS 服务 器 可 被 配置 成 解析 这 些 ASCH 编码 的 域名 ， 就 像 解析 原本 基于 ASCH 的 域 
名 一 样 。 

国际 字符 集 被 编码 为 统一 编码 (Unicode) 字符 。 依 据 Unicode (单一 码 ) 联盟 
( Consortium) 网 站 (www. unicode. org) ，Unicode 标准 “为 每 个 字符 提供 了 一 个 唯一 
数 ， 而 不 管 是 什么 平台 、 什 么 程序 以 及 什么 语言 "。 每 个 字符 被 表示 为 一 个 唯一 的 2 
或 3 字 节 十 六 进 制 数 。RFC 3490 及 其 相关 的 RFC 3491'°! 3454% 和 3492'” ， 描 述 
了 将 一 个 基于 Unicode 的 域名 转换 为 一 个 ASCII 格式 域名 的 过 程 。 注 意 从 技术 角度 而 
言 ， 域 标签 是 每 个 分 别 转 换 的 ， 而 并 不 是 整个 “域名 ”转换 的 。 

为 了 解析 国际 域名 ,一 台 DNS 服务 器 必须 被 配置 带 有 以 ASCI 格式 编码 的 资源 
记录 ， 特 别 是 Unicode 映射 的 ASCI 字符 ， 它 被 称 作 弱 码 (punycode) 。 弱 码 算法 的 输 
出 得 到 一 个 ASCII 字符 串 ， 之 后 以 ASCI 兼容 编码 (ACE) 首部 xn-- 作 为 前 级 。 因 
此 ， 在 DNS 基础 设施 内 ， 表 示 为 xn-- < 附加 ASCH 字符 > 的 域 可 能 是 一 个 国际 域名 
的 弱 码 表示 。 应 用 (例如 网 页 浏览 器 ) 负责 将 用 户 输入 的 URL 转换 为 Unicode 格式 ， 
之 后 再 转换 弱 码 。 弱 码 域名 被 传递 到 客户 端 上 的 解析 器 ， 通 过 DNS 使 用 ASCII 字符 
进行 解析 。 在 RFC 3492 中 规范 了 弱 码 算法 ， 几 个 web 站 点 可 用 于 将 表 项 转换 到 DNS, 

考虑 一 个 范例 中， 让 我 们 考虑 在 idiblo. com 域 中 作为 www. zdzblo. com 的 一 台 
web 服务 器 主机 的 地 址 。 该 域名 包含 变 音符 号 ， 并 具有 ASC 字符 集 外 的 字符 。 输 入 
这 个 URL 的 网 页 浏览 器 将 此 域名 转换 为 ASCI 字符 或 弱 码 为 www. xn--dbo-- 
iwalzb. com。 在 DNS 中 www. xn--dbo-iwalzb. com. 主机 的 对 应 A 或 AAAA 记录 表 项 将 
使 终端 用 户 能 够 输入 一 个 母语 的 URL， 同 时 利用 部 署 在 世界 各 地 的 现 有 DNS 服务 器 
基础 ， 通 过 目的 地 web IRI ARAY IP 地 址 来 识别 和 连接 该 服务 需 。 净 结果 是 ， 在 通信 
导线 上 (on the wire) 发 送 的 这 些 DNS 消息 被 编码 为 ASCII 字符 。 


9.5.4 DNS 消息 格式 


现在 让 我 们 更 详细 地 看 看 用 来 实施 这 个 整体 解析 功能 的 DNS 消息 格式 ， 它 将 我 
们 较 早 讨论 的 标签 格式 的 域名 集成 在 了 一 起 。DNS 消息 默认 地 在 UDP 上 传输 的 ， 使 
用 端口 53 。TCP 也 可 在 端口 53 上 使 用 。 一 条 DNS 消息 的 基本 格式 如 图 9-10 所 示 。 

(1) 消息 首部 包含 各 种 字段 ， 这 些 字段 定义 了 消息 的 类 型 和 关联 的 信息 ， 其 中 


© YER: 定义 “IDNA2003” 的 RFC 3490 已 被 RFC 5890-4! '84!88] 这 四 个 REC 所 更 新 ， 被 称 作 “ID- 
NA2008”， 这 每 个 版 本 均 有 规范 工作 开始 的 年 份 指示 。 在 这 些 版 本 间 存 在 一 些 差异 ， 但 一 般 而 言 ， 
本 节 中 的 资料 对 它们 均 适 用 。 
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包括 如 下 每 个 字段 的 记录 数 。 

(2) Question (问题 ) 节 确 定 通过 这 条 消息 被 查找 的 信息 。 

(3) Answer (答案 ) 节 包 含 零 个 或 多 个 资源 记录 ， 它 们 回答 问题 节 中 确定 的 
查询 。 

(4) Authority (权威 ) 节 包 含 零 个 或 多 个 资源 记录 ， 索 引 给 定 答案 的 权威 名 字 服 
务 器 ， 或 指向 沿 树 向 下 的 委托 名 字 服 务 器 ， 后 续 的 迭代 查询 可 向 此 服务 器 发 出 。 

(5) Additional (附加 ) 节 包 含 零 个 或 多 个 资源 记录 ， 包 含 与 问题 相关 的 附加 信 
息 ， 但 未 必 是 问题 的 严格 答案 。 


图 9-10 DNS 消息 字段 [3] 


图 9-11 DNS 消息 首部 [9%9] 


1. 消息 首部 

在 每 个 DNS 消息 上 包括 DNS 消息 首部 ， 并 传递 要 包含 的 消息 类 型 和 相关 联 的 参 
数 ， 如 图 9-11 所 示 。 

消息 首部 由 六 个 16bit 字段 组 成 。 

(1) 消息 DD。 也 称 作 事务 ID， 这 是 解析 器 指派 的 一 个 标识 符 ， 并 从 DNS IRS 4 
复制 到 应 答 中 ， 这 使 解析 器 将 响应 与 查询 关联 起 来 。 

(2) 代码 。 与 这 条 消息 关系 密切 的 消息 代码 。 我 们 接 下 来 详细 研究 这 些 代码 
字段 。 

(3) 问题 计数 (QDCOUNT) 。 在 DNS 消息 的 问题 节 中 包含 的 问题 数 。 

(4) 答案 记录 计数 (ANCOUNT) 。 在 DNS 消息 的 答案 节 中 包含 的 资源 记录 数 。 

(5) 权威 记录 计数 (NSCOUNT) 。 在 DNS 消息 的 权威 节 中 包含 的 资源 记录 数 。 

(6) 附加 记录 计数 (ARCOUNT)。 在 DNS 消息 的 附加 节 中 包含 的 资源 记录 数 。 

定义 了 如 下 代码 比特 。 
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(1) QR (查询 /响应 ) 。 这 个 标志 表明 这 条 消息 是 一 条 查询 (0) 还 是 一 条 响应 
(1) 。 

(2) Opcode (操作 码 ) 。 这 条 消息 的 操作 码 。 目 前 ， 定 义 了 如 下 数值 : 

1) 0 = 查询 。 

2) 1= 保 留 〈 以 前 是 反 向 查询 ， 目 前 废弃 不 用 ) 。 

3) 2 = 服务 器 状态 请 求 。 

4) 3= 保 留 。 

5) 4 = 通知 一 一 使 一 台 主 区 域 服务 器 通知 拥有 同一 区 域 的 一 台 从 属 区 域 服务 器 
(从 属 服务 器 要 确认 ) ， 对 区 域 数 据 作 出 了 改变 。 对 于 通知 消息 ， 权 威 节 和 附加 节 是 
不 用 的 , 在 DNS 首部 中 响应 的 记录 计数 应 该 设置 为 0。 

6) 5 = 更 新 一 一 使 一 个 客户 端 或 DHCP 服务 器 更 新 一 台 DNS 服务 器 上 的 区 域 数 
据 。 对 于 更 新 消息 ，DNS 消息 字段 和 对 应 首部 字段 的 解释 和 上 述 的 有 所 不 同 。 在 下 

节 描 述 更 新 消息 的 消息 格式 。 

7) 6~15 = 未 指派 

(3) AA (权威 答案 ) 。 当 设置 时 ， 这 条 消息 包含 了 问题 的 一 个 权威 答案 。 这 意 
味 着 响应 是 从 一 台 DNS 服务 器 得 到 的 ， 该 服务 器 配置 有 区 域 的 信息 。 如 果 没 有 设置 
的 话 ， 则 答案 是 从 一 台 非 权威 DNS 服务 器 得 到 的 ， 极 可 能 是 以 前 查询 的 被 缓存 信息 。 
当 提供 多 个 答案 时 ， 这 个 标志 与 答案 节 中 的 第 一 条 记录 有 关 。 当 在 查询 上 由 客户 端 设 
置 时 ， 这 表明 要 求 得 到 一 个 权威 答案 (不 被 缓存 的 ) 。 

(4) TC ( 截 短 的 响应 ) 。 这 个 码 表明 这 条 消息 由 于 传输 的 原因 而 被 截 短 。 一 般 而 


言 ， 这 是 由 于 UDP 报 文 的 报 文 长 度 限 制导 致 的 ，UDP 是 DNS 使 用 的 默认 传输 层 
协议 。 
(5) RD (期 望 采用 递归 法 )。 这 个 标志 指明 ， 查 询 者 将 希望 DNS 服务 器 迭代 地 


解析 查询 ， 必 要 时 遍历 域 树 。 多 数 解 析 器 设置 这 个 标志 ， 指 明 一 个 查询 为 一 个 递归 查 
询 ， 同 时 一 般 来 说 ， 当 查询 其 他 服务 器 时 ， 一 台 DNS 服务 器 不 会 设置 这 个 标志 。 

(6) RA (递归 法 是 可 用 的 )。 这 个 标志 指明 这 台 DNS 服务 器 可 支持 递归 查询 法 。 

(7) 保留 或 Zbit。 保 留 的 (0)。 

(8) AD (可 信 的 数据 ) 。 在 DNS 安全 扩展 (DNSSEC) 上 下 文 内 使 用 ， 由 一 台 名 
字 服 务 器 设置 这 个 比特 ， 用 来 指明 在 答案 节 和 权威 节 内 的 信息 是 可 信 的 ， 这 意味 着 它 
已 经 过 认证 。 

(9) CD (检查 被 禁止 ) 。 用 于 DNSSEC 上 下 文 内 ， 在 一 台 DNSSEC 名 字 服 务 器 处 
理 这 个 特定 的 查询 过 程 中 ， 这 个 比特 使 一 个 DNSSEC 解析 器 能 够 禁止 签名 验证 。 

(10) 响应 码 (RCODE)。 向 客户 端 提供 结果 状态 。 表 9-1 中 汇总 了 当前 定义 的 
响应 码 。 注 意 ， 给 定 4bit 的 RCODE 字段 ， 则 十 进 制 数 值 1 ~15 就 可 编码 在 DNS 首部 
RCODE 字段 内 。 

DNS 扩展 (EDNS0， 在 本 章 后 面 讨 论 ) OPT (OPTion， 选 项 ) 资源 记录 为 容量 增 
加 了 8 个 附加 的 RCODE 比特 ， 当 与 首部 RCODE 比特 一 起 使 用 时 ， 这 种 做 法 将 总 数 
增加 为 12bit ( 达 十 进 制 数值 4095 ) 。 
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您 将 注意 到 十 进 制 16 有 两 种 解释 。 当 编码 在 OPT 资源 记录 内 时 ,解释 为 BAD- 
VERS， 而 当 编码 在 一 个 TKEY 或 TSIG 资源 记录 内 时 ， 结 果 解 释 为 BADSIG 。 
表 9-1 DNS 消息 响应 码 了 [105] 


名 字 描述 文献 


十 进 制 | 十 六 进 制 


0 0 NoError 没有 错误 RFC 1035!” 


1 Forn ` RFC 1035 
fi PAE 查 询 


2 2 ServFail i A RFC 1035 
题 导 致 这 条 查 询 7 Be pi Aub FL 


不 在 Ky 域 一 一 域名 不 
3 3 NXDomain 不 存在 的 最 各 不 RFC 1035!” 
存在 


没有 实现 一 一 这 台 服 务 器 
不 支持 该 查询 类 型 

查询 被 拒绝 一 一 服务 器 拒 
5 5 Refused( 拒 绝 的 ) 绝 所 请 求 的 查询 ,例如 拒绝 一 | RFC 1035!” 
个 区 域 传 递 请 求 

当 在 DNS 更 新 前 提 条 件 处 
6 6 YXDomain 理 过 程 中 确定 时 ,不 应 该 存在 | RFC 213610] 
的 名 字 却 是 存在 的 

当 在 DNS 更 新 前 提 条 件 处 
7 7 YXRRSet 理 过 程 中 确定 时 ,不 应 该 存在 | RFC 2136! 1°! 
的 RRSet 却 是 存在 的 

当 在 DNS 更 新 前 提 条 件 处 
8 8 NXRRSet 理 过 程 中 确定 时 ,应 该 存在 的 | RFC 213611001 
RRSet 却 是 不 存在 的 
民 务 器 不 是 DNS 更 新 消息 
9 9 NotAuth 的 区 域 节 中 所 列 区 域 的 权威 | REC 213611! 
服务 器 


在 前 提 条 件 或 一 条 DNS 
新 消息 更 新 节 中 所 用 的 名 字 ， 
没有 被 包含 在 该 消息 区 域 节 
所 指明 的 区 域 之 中 

11 ~15 B~F 可 用 于 指派 一 = 


不 被 支持 的 (不 良 ) OPT RR 


4 4 NotImp RFC 1035!” 


+H 


10 A NotZone( 不 是 区 域 ) 


REC 2136!!! 


16 10 BADVERS i RFC 26711104) 
版 本 
16 10 BADSIG TSIG 签名 失效 REC 2845!!! 
17 11 BADKEY 不 可 识别 的 密 钥 ( key ) RFC 28451] 
签名 超出 了 有 效 的 服务 器 
18 12 BADTIME ate REC 2845!!! 
签名 时 间 窗 口 
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( 续 ) 
RCODE 
名 字 描述 文献 
十 进 制 | 十 六 进 制 

无 效 的 TKEY 模式 一 一 这 

19 13 BADMODE 台 服 务 器 不 支持 所 请 求 的 | REC 293011 
模式 

20 14 BADNAME 不 存在 的 或 重复 的 密 钥 名 RFC 29301103 
21 15 BADALG 不 支持 的 算法 RFC 29301103 

不 良 的 截 短 操作 一 一 消息 
22 1 BADTRUN 104 

6 RUNC 认证 码 ( MAC ) KE RFC 4635 
23 ~3840 | 14 ~ F00 | 可 用 于 指派 = 

3841 ~4095 | FOL ~ FFF | 为 专用 用 途 保留 一 REC 53951105 


值 。 从 技术 角度 而 言 ， 这 些 不 是 RCODE， 仅 反映 TSIG 和 TKEY 元 资源 记录 类 型 内 的 16bit 错误 字 

段 ， 它 为 这 两 个 资源 记录 类 型 提供 高 达 65535 的 容量 。 

2. 问题 节 

如 您 可 能 猜 到 的 ，DNS 消息 格式 内 的 问题 节 ， 包 含 这 条 查询 要 询问 的 问题 。 该 
节 可 包含 一 个 以 上 的 问题 ， 由 QDCOUNT 首部 字段 中 所 指数 字 标 明 。 每 个 这 样 的 问题 
都 有 如 下 格式 〈 见 图 9-12) 。 

QNAME 字段 包含 域名 ， 格 式 化 为 一 系列 标签 。QType 字段 指明 查询 类 型 ， 或 问 
这 个 问题 的 目的 是 什么 。 可 包括 任意 资源 记录 类 型 ， 我 们 将 在 下 一 章 详细 讲述 。 但 
是 ， 对 于 请 求 区 域 传递 ， 存 在 一 些 独 特 的 QType 数值 ， 例 如 当前 定义 的 那些 ， 包 括 如 
下 内 容 ( 见 表 9-2) 。 

QCLASS 字段 指明 这 个 查询 是 针对 哪 一 类 的 ， 例 如 因特网 类 的 IN， 它 是 最 常见 的 
类 。 本 质 上 而 言 ， 类 使 平行 名 字 空 间 的 管理 成 为 可 能 。 一 般 而 言 ， 当 前 定义 的 
QCLASS (和 DNS CLASS) 定义 在 表 9-3 H, 

3. 答案 节 

答案 节 以 资源 记录 的 形式 ， 包 含 零 个 或 多 个 答案 。 答 案 的 数量 在 ANCOUNT 首部 
字段 中 确定 。 在 下 一 章 中 ， 我 们 将 讨论 不 同类 型 的 资源 记录 ， 它 们 都 使 用 一 个 通用 的 
格式 ， 如 图 9-13 所 定义 的 。 

名 字 字 段 ， 也 称 作 属 主 名 字 字 段 ， 是 对 应 于 这 个 资源 记录 的 查询 名 (对 应 于 原 


台 问 题 中 的 查询 值 或 QNAME) 。 


0 bit 15 16 31 


QNAME 
可 变 比特 数 


图 9-12 ”问题 节 格式 '3] 
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表 9-2 DNS QType”!'! 
仅 是 QType 查询 目的 QType ID( 十 进 制 ) IETF 状态 定义 该 类 型 的 文档 
所 有 资源 记录 255 标准 RFC 1035 
MAILA 邮件 代理 资源 记录 254 试验 型 的 RFC 1035 
MAILB 邮箱 资源 记录 253 过 时 的 RFC 1035 
绝对 区 域 传递 (整个 7 
AXFR 4 对 区 域 传递 ( 整 人 252 标准 RFC 1035 
区 域 ) 
增 量 区 域 传递 ( 仅 涉 及 es aon 
IXFR 251 AW biti RFC 1995 
发 生 的 变化 ) sail 


O 另外， #12-1 中 的 RRType 可 用 作 QType。 


类 型 字段 指明 可 为 这 个 名 字 提 供 的 信息 类 型 。 例 如 ， 类 型 A 意味 着 这 个 资源 记 


录 为 给 定名 字 提 供 IPv4 地 址 信息 。 在 下 一 章 中 讲解 资源 记录 类 型 ， 


并 汇总 于 表 10-1, 


类 (Class) 字段 表示 名 字 空 间 类 ， 例 如 用 于 因特网 的 IN。 表 9-3 给 出 了 有 效 


的 类 。 


TTL 或 存活 时 间 字 段 以 秒 为 单位 ， 给 出 了 资源 记录 有 效 寿命 的 一 个 时 间 数 值 。 这 


个 消息 的 接收 者 可 将 此 信息 缓存 TTL 秒 ， 
这 个 信息 。 但 是 ,在 TTL 超期 时 ， 应 该 丢弃 被 缓存 的 信息 ， 并 发 出 一 条 新 的 查询 。 


并 在 此 时 间 内 可 靠 地 (不 用 担忧 地 ) 使 用 


表 9-3 DNS 类 [106] 
类 ( CLASS) 
十 进 制 十 六 进 制 a, = oa 
0 0 保留 保留 RFC 5395 
1 1 IN 因特网 RFC 1035 
2 2 未 指派 未 使 用 IANA 
3 3 CH Chaos (WAL) RFC 1035 
4 4 HS Hesiod RFC 1035 
5 ~253 5 ~FD 未 指派 未 使 用 IANA 
254 FE NONE 无 RFC 2136 
255 FF * (任意 ) Peers ene RFC 1035 
256 ~65 270 100 ~ FEFF 未 指派 未 使 用 IANA 
65 280 ~65 534 | FF00~FFFE | 为 专用 用 途 保留 一 RFC 5395 
65 535 FFFF A 保留 RFC 5395 
RDLENGTH 字段 指明 了 结果 (RDATA) 字段 的 长 度 ， 是 以 字 节 为 单位 的 。 对 于 
给 定 属 主 ，RDATA 字段 包含 了 所 识别 类 中 所 确定 类 型 的 相应 信息 。 如 我 们 将 看 到 的 ， 


当 详 细 研 究 多 样 化 的 资源 记录 类 型 时 ，RDATA 字段 有 一 个 变形 的 格式 。 
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0 bit 15 16 31 
名 字 ( 属 主 ) 
变 长 比特 数 


类 型 
16 bit 


RD 长 度 


16 bit RDATA 


变 长 比特 数 


图 9-13 答案 节 格 式 [2%] 


4. 权威 节 

权威 节 包 含 了 NSCOUNT 数量 的 答案 ， 和 在 答案 节 中 讨论 的 一 样 ， 它 使 用 相同 格 
式 的 资源 记录 。 一 般 来 说 ， 在 权威 节 内 ， 仅 有 NS (AFTREE) 资源 记录 是 有 效 的 ， 
虽然 当 被 查询 的 名 字 服 务 器 是 权威 的 ， 但 答案 节 为 空 时 ， 多 数 名 字 服 务 器 在 该 节 中 返 
回 一 个 SOA (Start of Authority， 起 始 授 权 机 构 ) 记录 。 本 节 也 包含 有 关 其 他 名 字 服 务 
器 的 信息 ， 这 些 服务 器 是 被 查询 信息 的 权威 服务 器 。 这 个 信息 由 查询 解析 器 使 用 ， 或 
更 可 能 被 递归 名 字 服 务 器 所 用 ， 以 便 在 寻找 最 终 答 案 而 遍历 域 树 时 ， 确 定 要 查询 的 下 
一 台 名 字 服 务 器 。 

5. 附加 节 

附加 节 以 资源 记录 的 形式 ， 包 含 ASCOUNT 数量 的 答案 ， 它 提供 查询 的 附加 的 或 
有 关 的 信息 ， 与 答案 节 中 讨论 的 格式 相同 。 


9.5.5 DNS 更 新 消息 


更 新 消息 使 一 台 客户 端 、DHCP 服务 器 或 其 他 源 能 够 在 一 个 区 域内 实施 一 个 或 多 
个 资源 记录 的 一 条 更 新 〈 增 加 、 修 改 或 删除 ) 。 虽 然 更 新 消息 利用 刚 描述 过 的 DNS 消 
息 的 相同 基本 格式 ， 但 一 些 字段 的 解释 是 不 同 的 。 更 新 消息 ， 在 DNS 消息 首部 中 以 
操作 码 =5 表示 ， 其 编码 如 下 ( 见 图 9-14)。 

将 这 个 格式 与 图 9-10 所 示 的 非 更 新 DNS 消息 比较 。 消 息 首 部 与 “正常 ”DNS 消 
息 的 格式 相同 ， 但 其 他 各 节 的 解释 不 同 。 


消息 首部 (opcode=5) 
6 bit 


区 域 
变 长 


前 提 条 件 
XK 


更 新 
ARK 
附加 数据 
变 长 


图 9-14 DNS 更 新 消息 格式 [1001 
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区 域 节 识别 由 这 条 更 新 消息 更 新 的 DNS 区 域 。 前 提 条 件 节 使 得 必须 被 满足 的 条 
件 确定 成 为 可 能 ， 目 的 是 成 功 地 实施 更 新 。 条 件 和 条 件 类 型 是 由 前 提 条 件 节 内 每 个 资 
源 记录 编码 参数 的 数值 确定 的 。 下 表 定义 DNS 更 新 前 提 条 件 是 如 何 解释 的 ， 它 的 依 
据 是 前 提 条 件 节 内 属 主 、 类 、 类 型 和 RData 字段 的 数值 。 


属 主 类 类 型 RData 前 提 条 件 解 释 
匹配 ANY0255] ANY 空 要 匹配 的 属 主 名 字 在 这 个 区 域 中 已 被 使 用 


中 具有 匹配 属 主 和 类 型 的 一 条 RRSet 是 存在 的 
EA [255] pe 2s 
| ii (数值 无 关 的 , 即 任意 RData 都 匹配 ) 


匹配 NONE12541 ANY Z 要 匹配 的 属 主 名 字 在 这 个 区 域 中 没 被 使 用 


_ pa 带 有 要 匹配 属 主 和 类 型 的 一 条 RRSet 在 这 个 区 
pe fy [254] pt 空 = 
E NONE fic 域 中 不 存在 
_ a = 带 有 要 匹配 属 主 、 类 型 和 RData 的 一 条 RRSet 
pe fy 与 区 域 类 相 后 pt pe 
: ENR i 到 存在 于 这 个 区 域 中 (数值 相关 的 , 即 RData 匹配 ) 


更 新 节 包 含 要 添加 到 区 域 或 从 区 域 删 除 的 资源 记录 ， 使 用 的 是 如 下 前 提 条 件 节 所 
用 的 一 种 类 似 编码 。 
属 主 类 类 型 RData 更 新 的 解释 


将 确定 的 属 主 .类 型 和 RData 的 这 条 资源 


属 主 添加 与 区 域 类 相同 RR 类 型 RR RData | 2 a ‘ eee 
: 一 = “” | 记录 (可 能 是 多 条 记录 ) 添加 到 区 域 的 RRSet 
主 删除 | any?) | RR 类 型 25 将 确定 属 主 和 类 型 的 资源 记录 删除 
属 主 删除 ANYL255] ANY 空 将 确定 属 主 名 的 所 有 资源 记录 删除 
从 区 域 中 删除 确定 属 主 类 型 和 RData 的 
主 删除 | NoNe RR 类 型 | RR RData |, ae eae 
资源 记录 (可 能 有 多 条 记录 ) 


附加 数据 节 包 含 与 这 条 更 新 有 关 的 资源 记录 ， 例 如 区 域外 黏 结 (out of zone glue) 
记录 。 
考虑 带 有 前 提 条 件 和 以 如 下 编码 的 更 新 字段 ， 接 收 一 条 更 新 消息 的 例子 如 下 。 


字段 属 主 类 类 型 RData 
前 提 条 件 host. ipamworldwide. com IN DHCID H8349a + )3jELeA = = ESI 
更 新 host. ipamworldwide. com IN A 10. 0. 0. 200 


更 新 节 的 内 容 将 仅 当 满足 前 提 条 件 时 才 被 考虑 。 在 这 种 情形 中 ， 前 提 条 件 是 
host. ipamworldwide. com. IN DHCID H8349a +) 3jELeA = =ES1 记录 存在 于 区 域 中 ， 即 
前 提 条 件 类 型 RRSet 带 有 匹配 属 主 、 类 型 和 RData (数值 依赖 ) 。 如 果 确 实 存在 ， 那 
么 来 自 更 新 节 的 host. ipamworldwide. com. IN A 10. 0. 0. 200 资源 记录 将 被 添加 到 区 域 之 
中 。 如 果 不 存在 ， 则 不 执行 更 新 。 

这 个 特定 的 例子 形象 地 说 明了 ISC DHCP 服务 器 ， 在 指派 一 个 IP 地 址 (在 此 情形 
中 是 向 host. ipamworldwide. com. 指派 10. 0. 0. 200) 时 ， 如 何 实施 DNS 数据 的 动态 更 
新 。DHCID 记录 提供 了 接收 了 P 地址 的 主机 硬件 地 址 的 一 个 散 列 值 ， 以 此 唯一 地 识别 
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该 主机 。 更 新 该 地 址 记录 的 前 提 条 件 ， 提 供 了 确保 仅 有 这 条 A 记录 的 原始 持 有 者 才 
能 修改 它 的 一 种 方法 ， 这 就 使 命名 重复 或 劫持 风险 最 小 化 。 


9.5.6 DNS 扩展 (EDNS0) 


迄今 为 止 ， 在 我 们 讨论 DNS 消息 首部 时 ， 人 们 会 观察 到 所 有 代码 比特 都 被 指派 ， 
但 仅 有 一 个 代码 比特 ， 且 是 附加 的 响应 代码 指派 在 必要 时 才 需 要 。 另 外 ， 相 比 于 原始 
确定 的 尺寸 限制 5S12B ， 许 多 主机 可 处 理 较 大 型 的 多 部 分 (multi-part) 组 成 的 UDP 报 
文 。 作 为 这 些 限制 的 一 个 结果 ， 以 及 期 望 添加 附加 的 域名 标签 类 型 ， 在 RFC 267151" 
中 定义 了 DNS 扩展 。 

RFC 2671 定义 了 DNS 扩展 机 制 的 版 本 0， 表 示 为 EDNSO。 通 过 定义 如 下 扩展 ， 
该 RFC 解决 了 上 述 约束 。 


bit 15 16 


图 9-15 EDNSO 格式 [101] 


1) 为 表示 DNS 扩展 ， 定 义 了 一 个 新 的 域 标签 类 型 。 正 如 我 们 讨论 过 的 ， 域 标签 
的 前 2bit 唯一 地 将 该 标签 识别 为 一 个 长 度 字 节 (前 2bit = [00],) 或 一 个 指针 (前 
2pit =[11],)。 扩 展 标 签 类 型 被 指派 [01], 作为 它 的 前 2bit。 

2) EDNSO 定义 了 一 个 伪 资 源 记 录 ， 即 OPT 记录 ( 即 RRType = OPT) 。 解 析 器 或 
服务 器 将 OPT 记录 放置 在 附加 节 中 ， 目 的 是 通告 其 相应 的 能 力 。OPT 资源 记录 被 用 
来 将 发 送 者 (客户 端 或 服务 器 ) 的 能 力 通告 给 接收 者 ， 且 仅 应 该 存在 一 个 OPT 记录 。 

OPT 伪 资 源 记录 按 如 下 编码 ( 见 图 9-15)， 这 使 确定 发 送 者 的 UDP 报 文 尺寸 和 
附加 的 响应 代码 比特 成 为 可 能 。 

OPT 记录 永远 不 应 出 现在 一 个 区 域 文件 中 。 因 此 ， 和 其 他 资源 记录 一 样 ， 当 OPT 
伪 资 源 记 录 利 用 相同 的 传输 (wie) 格式 时 ， 则 标准 字段 的 定义 就 已 作 修改 ， 以 便 仅 
提供 扩展 信息 。 对 于 OPT 记录 ，NAME 字段 为 零 。TYPE 为 OPT，CLASS 字段 指明 发 
送 者 UDP 净 荷 的 最 大 尺寸 。32bit 的 TTL 字段 被 分 成 如 下 三 个 字段 。 

1) 扩展 的 响应 码 。 将 8bit 添加 到 DNS 消息 首部 的 4bit RCODE， 提 供 了 总 共 
12bit 的 字段 。 

2) EDNS 版 本 号 。 

3) 扩展 的 首部 标志 。bit0 当前 被 定义 为 “DNSSEC 答案 正常 ”， 这 意味 着 查询 服 
务 器 能 够 处 理 DNSSEC 资源 记录 。 扩 展 首部 的 其 他 15bit 当前 是 保留 的 。 

RDLength 字段 指明 RData 字段 的 长 度 ， 它 由 零 个 或 多 个 选项 组 成 ， 每 个 选项 编 
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码 为 一 个 选项 码 、 选 项 长 度 和 选项 值 。 

迄今 为 止 ， 一 个 选项 是 通过 RFC 50011 进行 官方 定义 的 : 名 字 服 务 器 识别 符 
(NSID) 选项 。 由 选项 码 =3 定义 的 这 个 选项 ， 使 一 个 解析 器 可 发 出 请 求 ， 使 一 台 服 
务 器 提供 它 的 映 份 ， 依 据 服务 右 管 理 员 定义 的 ， 即 将 其 名 字 、IP 地 址 、 伪 随机 数 或 
其 他 字符 串 (在 BIND 中 是 使 用 server-id 语句 ， 可 进行 配置 的 ) 定义 为 其 身份 。 对 于 
在 如 下 环境 中 排 错 ， 这 个 EDNSO 选项 是 有 用 的 ， 其 中 许多 台 服 务 器 共享 同一 个 IP 地 
址 ， 例 如 在 部 署 任意 播 寻 址 的 情况 或 采用 负载 均衡 器 的 情况 。 男 外 两 个 选项 ， 长 时 间 
存活 的 查询 ”(LLQ; 选项 码 = 1) 和 更 新 租赁 寿命 ” (UL; 选项 码 =2) 目前 作为 
RFC， 还 处 于 停 用 状态 ， 就 这 些 设 置 ， 还 没有 官方 信息 发 布 。 


9.5.7 资源 记录 


本 章 讲 解 了 DNS 数据 的 组 织 结构 、 域 树 的 遍历 以 及 实施 遍历 的 消息 格式 。 一 旦 
我 们 导航 查阅 域 树 ， 并 定位 了 一 个 域 的 信息 的 一 台 权 威 DNS 服务 器 ， 我 们 如 何 实际 
得 到 查询 信息 (该 信息 是 我 们 为 一 个 特定 目的 或 应 用 ， 正 在 寻找 的 信息 ) 呢 ? 

与 给 定 域 关 联 的 资源 记录 ， 提 供 了 将 问题 映射 到 一 个 答案 的 方法 。 资 源 记 录 类 型 
定义 期 望 的 结果 类 型 ， 例 如 A 资源 记录 类 型 将 提供 一 个 IPv4 地 址 作为 答案 ， 而 
AAAA 类 型 将 提供 一 个 IPv6 地 址 。 答 案 可 以 是 “最 终 答 案 ” 或 可 通过 另外 的 查询 或 
其 他 方法 得 到 期 望 答案 所 使 用 的 信息 。 


T 


一 个 长 时 间 存 活 的 查询 是 这 样 一 种 机 制 ， 一 个 解析 器 请 求 接收 区 域 信息 变化 的 通知 ; 有些 像 用 于 
客户 端的 一 条 DNSNOTIFY。 

”更 新 租赁 寿命 机 制 ， 使 一 台 DHCP 服务 器 能 够 在 一 条 DNS 更 新 消息 内 ， 针 对 新 的 和 刷新 的 租赁 ， 
将 以 秒 为 单位 的 对 应 客户 端的 租赁 时 间 长 度 通知 该 DNS 服务 器 。 


| 


第 10 章 DNS 应 用 和 资源 记录 


10.1 引言 


本 质 上 来 说 ，DNS 是 将 一 个 给 定 的 信息 片 “ 翻 译 ” 为 另 一 个 相关 的 信息 片 。 这 
个 解析 过 程 恰 是 DNS 发 明 的 原因 ， 并 已 经 被 扩展 ， 远 远 超 出 将 主机 名 解析 为 耻 地 址 
这 单项 功能 ， 反 过 来 支持 较 宽 种 类 的 应 用 。 几 乎 可 以 这 样 说 ， 要 求 将 一 种 形式 的 信息 
翻译 为 另 一 种 形式 信息 的 任意 服务 或 应 用 ， 均 可 利用 DNS, 

在 DNS 中 配置 的 每 条 资源 记录 使 这 项 查找 功能 成 为 可 能 ， 它 返回 一 条 给 定 查询 
的 一 个 解析 答案 。DNS 服务 器 分 析 DNS 消息 ?问题 节 的 查询 ， 针 对 该 查询 的 QNAME、 
QCLASS 和 QTYPE， 在 相应 域 的 区 域 文件 内 寻找 一 条 匹配 。 每 条 资源 记录 有 一 个 名 字 
( 即 属 主 ) 字段 、 类 (如 果 没 有 指明 ， 则 假定 为 因特网 类 ) 和 类 型 字段 。RData 字段 
包含 查询 的 相应 答案 。 资 源 记 录 类 型 定义 了 问题 的 类 型 和 格式 ( 属 主 / 名 字 字 段 ) 和 
对 应 答案 (RData 字段 ) 。 在 一 些 实例 中 ， 多 个 资源 记录 可 匹配 被 查询 的 名 字 、 类 型 
和 类 。 在 这 些 情形 中 ， 称 为 一 个 资源 记录 集合 (RRSet) 的 所 有 匹配 记录 ， 在 响应 消 
息 的 答案 节 中 返回 。 

多 数 新 应 用 (但 不 是 所 有 的 ) 都 要 求 新 的 资源 记录 类 型 ， 以 便 定义 应 用 特定 的 
言 息 ， 这 些 新 的 资源 记录 类 型 是 通过 ETF RFC 过 程 来 标准 化 的 。 本 章 描述 了 DNS 中 
存储 的 各 种 形式 的 信息 以 及 它们 所 支持 的 应 用 。 在 本 章 末 尾 ， 提 供 一 个 资源 记录 汇 
总 ， 以 便 参 考 。 


10.1.1 资源 记录 格式 


首先 让 我 们 回顾 一 下 一 条 资源 记录 的 格式 。 当 对 查找 信息 的 一 条 查询 做 出 响应 
时 ， 一 台 DNS 服务 器 将 资源 记录 信息 放置 在 一 条 DNS 消息 的 答案 节 之 中 。 由 DNS 协 
议 规定 的 “传输 (on-the-wire) 格式 ”， 在 DNS 消息 答案 节 的 格式 上 下 文中 的 图 9-13 
做 了 介绍 ， 出 于 方便 ， 在 图 10-1 中 重新 给 出 。 

当 在 区 域 文件 中 表示 资源 记录 时 ， 所 有 这 些 字段 (除了 RDLength 字段 外 ) 都 被 
输入 ， 当 将 资源 记录 信息 放置 在 一 条 DNS 消息 中 时 ，DNS 服务 器 将 RDLength 字段 搬 
人 人。 一般 而 言 ， 一 条 资源 记录 的 文本 表示 遵循 如 下 所 示 的 一 种 通用 惯例 。 多 数 资源 记 
录 采 用 如 下 通用 字段 加 以 定义 ,虽然 许多 字段 在 RData 字段 内 都 有 子 字段 ， 我 们 将 在 
本 章 后 面 看 到 具体 情形 。 


”参见 图 9-12。 


S 
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1) BE (名 字 ) 。 这 个 字段 匹配 正 被 查询 的 信息 。 

2) 存活 时 间 (TTL)。 对 于 缓存 这 个 信息 的 服务 器 和 解析 咒 而 言 ， 在 这 条 资源 记 
录 内 包含 该 信息 的 有 效 秒 数 。 在 TTL 超期 之 后 ， 资 源 记录 信息 必须 从 名 字 服 务 器 和 
解析 器 缓存 中 被 清除 。 可 在 每 条 资源 记录 基础 上 ， 指 派 确 定 TTL， 或 在 被 略 去 的 情况 
下 ， 使 用 一 个 区 域 层 次 默认 的 TIL 值 ($ TTL). 


0 bit 15 16 31 
NAME(OWNER) 
变 长 比特 数 
TYPE CLASS 
16 bit 16 bit 
WIL, 
32 bit 
16 bit RDATA 
变 长 比特 数 


图 10-1 DNS 资源 记录 传输 格式 ”| 


3) 类 。 资 源 记 录 的 类 ， 对 于 因特网 而 言 ， 通 常 是 IN。 

4) 类 型 。 对 应 于 正 被 查找 信息 的 类 型 的 资源 记录 的 类 型 。 

5) RData。 通 过 匹配 属 主 ( 名字) 、 类 和 类 型 字段 内 容 ， 得 到 的 对 应 于 正 被 查找 
言 息 的 “记录 数据 ”或 答案 部 分 。 

既然 我 们 已 经 讲解 了 基本 格式 ， 则 就 准备 好 跳 到 支持 它们 的 特定 应 用 和 资源 记 
录 。 当 我 们 回顾 这 些 资 源 记 录 类 型 时 ， 将 回顾 每 个 类 型 的 解释 ， 并 给 出 一 个 例子 。 我 
们 将 讲解 已 经 被 ETF“ 官 方 ”接受 的 那些 资源 记录 类 型 ， 即 它们 已 经 以 一 个 RFC 的 
形式 发 布 ; 但 是 ， 发 布 为 一 个 RFC， 并 不 保证 在 所 有 解析 器 和 服务 器 间 对 该 资源 记录 
类 型 的 统一 实现 。 我 们 将 指出 ， 其 中 一 些 资源 记录 类 型 可 能 是 新 的 或 试验 型 的 ， 而 另 
一 些 则 早已 存在 了 数 年 时 间 。 

对 于 我 们 将 在 本 章 讨论 的 每 个 记录 类 型 ， 使 用 一 种 通用 格式 ， 显 示 资 源 记 录 字 段 
和 范例 。 对 于 每 个 记录 类 型 ， 第 一 行 或 表 头 ， 都 指派 规范 了 如 上 定义 的 基本 字段 。 第 
二 行 显 示 存 在 疑问 的 特定 类 型 的 这 些 基本 字段 的 解释 。 给 定 类 型 的 一 个 范例 资源 记录 
显示 在 第 三 行 ， 可 选 的 后 续 行 汇总 如 下 。 

资源 记录 字段 
资源 记录 字段 数据 类 型 


样 例 资源 记录 ( 可 能 有 多 项 ) 


注意 ， 术 语 “ 域 名 ”是 指 一 个 DNS 域 的 名 字 ， 术 语 “ 主 机 域名 ”是 指 一 台 主 机 
的 DNS 名 字 。 主 机 域名 可 采用 区 域 文件 定义 ,定义 为 完全 合格 的 (FQDN) 或 简单 的 
一 个 主机 名 (在 “当前 域 ” 的 上 下 文中 进行 解释 )。 当 前 域 是 在 named. conf 文件 的 区 
域 声 明 中 定义 的 ， 除 非 在 区 域 文件 中 使 用 一 条 $ ORIGIN 语句 做 出 变更 。 
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10.2 名字- 地 址 查询 应 用 


10.2.1 主机 名 和 IP 地址 解析 


首先 ， 最 常见 的 DNS 应 用 是 主机 名 解析 ， 即 查找 一 个 主机 域名 并 得 到 其 对 应 的 
IP 地 址 。 支 持 两 个 资源 记录 类 型 ， 用 于 IP 地 址 查询 ， 一 个 资源 记录 类 型 用 于 IPv4 地 
址 ， 另 一 个 用 于 IPv6 地 址 。 相 应 的 反 向 记录 利用 IPv4 和 IPv6 的 一 个 通用 记录 类 型 ， 
即 指针 (PTR) 记录 类 型 。 

当 管 理 一 个 混合 的 IPv4-IPv6 网 络 时 ， 注 意 DNS 将 强烈 地 影响 使 用 哪个 协议 到 达 
一 台 给 定 的 目的 主机 。 例 如 ， 如 果 我 希望 访问 一 个 网 站 ， 我 的 解析 器 首先 检索 给 定 网 
站 地 址 的 一 条 A 记录 。 在 不 能 得 到 一 个 IPv4 地 址 时 ， 之 后 它 会 尝试 一 次 AAAA 记录 
查找 ， 这 次 会 成 功 。 假 定 我 的 浏览 器 (TCP/IP 栈 ) 支持 IPv6， 那 么 连接 将 在 IPv6 上 
进行 。 不 知道 的 是 ， 我 正在 使 用 IPv6。 某 些 IPv4-IPv6 迁移 技术 明显 地 强制 DNS 中 的 
双 协 议 查 找 (A 和 AAAA) 。 我 们 将 在 第 15 章 讲解 这 些 技术 和 DNS 对 IPv4-IPv6 网 络 
的 整体 影响 。 

(1) A-IPv4 地 址 记录 。A 记录 是 一 个 通用 的 资源 记录 类 型 ， 用 来 将 一 个 被 查询 
的 主机 域名 映射 到 一 个 IPv4 地 址 。 其 格式 遵循 如 下 例子 中 的 标准 惯例 。 各 主机 可 能 
有 多 个 A 记录 ， 这 可 提供 一 个 主机 名 到 多 个 设备 和 /或 接口 的 负载 均衡 或 映射 。 


BE TTL 类 类 型 RData 
主机 域名 TTL IN A IPv4 地 址 
www. ipamworldwide. com. 86400 IN A 10. 100. 0. 99 


(2) AAAA-IPv6 地 址 记录 。 基 于 一 个 主机 域名 的 查找 ，AAAA (“四 个 A”) 记 
录 提 供 一 个 IPv6 地 址 。 以 类 似 于 A 记录 针对 主机 名 到 IPv4 地 址 查询 的 方式 ， 进 行 格 
式 化 和 处 理 ，RData 字段 包括 一 个 IPv6 地 址 ，IPv6 地 址 可 使 用 标准 的 IPv6 缩 略 惯例 
进行 缩 略 表示 。 


属 主 TTL 类 类 型 RData 
主机 域名 TTL IN AAAA IPv6 地 址 
www. ipamworldwide. com. 86400 IN AAAA 2001 :DB8 :3A : :21 :A450:1 
(3) PTR 一 一 指针 记录 。PTR 资源 记录 提供 从 一 个 IP 地 址 到 一 个 FQDN 的 映射 。 


PTR 记录 用 来 映射 IPv4 和 IPv6 地 址 。PTR 的 IPv4 版 本 包括 反 向 的 下 地 址 并 串 接 
“in-addr. arpa. ”作为 属 主 字段 ， 还 包括 对 应 的 FQDN 作为 RData 字段 。IPv6 版 本 是 
如 下 形成 的 ， 以 其 十 六 进 制 冒 号 格式 写 出 IPv6 地 址 ， 包 括 所 有 的 零 ， 即 填充 前 导 零 
和 双 冒 号 简捷 写法 。 之 后 丢掉 冒号 ， 将 数字 反 向 ， 之 后 串 接 “ip6. arpa. ” o 

在 这 个 例子 中 的 IPv4 地 址 对 应 10. 65. 32. 1 ， 而 IPv6 地 址 是 2001: 0DB8: 0000: 
0000; 0000; 0000; 0000; 1001, 或 为 缩 略 形式 的 2001: DB8:: 1001。 
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RE TTL 类 类 型 RData 
以 反 向 域 格式 表示 的 IP 地 址 TTL IN PTR 主机 域名 
1. 32. 65. 10. in- addr. arpa. 86400 IN PTR sfl. ipamworldwide. com. 


1.0.0. 1.0.0.0. 0. 0.0. 0. 0. 0. 0- 
. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 8. B. 86400 IN PTR sfl. ipamworldwide. com. 
D. 0. 1.0.0. 2. ip6. arpa. 


10.2.2 别名 主机 和 域名 解析 


CNAME 资源 记录 类 型 支持 依据 别名 的 一 台 主 机 域名 的 查找 。CNAME 查找 返回 的 
不 是 一 个 IP 地址， 而 是 一 台 主 机 的 域名 ， 之 后 必须 查询 它 的 IP 地 址 ， 但 多 数 DNS Ik 
务 器 对 一 条 CNAME 的 查询 响应 ， 将 在 DNS 响应 消息 的 附加 节 内 包括 对 应 的 A 和 /或 
AAAA 记录 。 同 时 ，DNAME 记录 提供 查找 域 的 一 个 类 似 别名 功能 。 正 如 在 前 一 章 所 
讨论 的 ，CNAME 和 DNAME 记录 在 处 理 非 字 节 边 界 的 反问 域 中 是 有 用 的 。 

(1) CNAMFE 一 一 规范 的 名 字 记 录 。CNAME 记录 使 主机 别名 的 产生 是 可 能 的 。 属 
主 字段 包含 要 被 查找 的 别名 ，RData 字段 产生 规范 的 主机 域名 。 之 后 ， 将 需要 解析 这 
个 主机 域名 ， 从 而 得 到 主机 对 应 的 A 和 /或 AAAA 记录 。 


BE TTL 类 类 型 RData 
产生 主机 域名 别名 TTL IN CNAME 规范 的 主机 域名 
W3. ipamww. com. 86400 IN CNAME www. ipamww. com. 


注意 ， 为 了 将 记录 链接 起 来 ， 配 置 一 个 CNAME RData 字段 指向 另 一 个 CNAME 
属 主 字段 是 不 合法 的 。 这 个 RData 字段 必须 直接 指向 一 个 A/AAAA 资源 记录 属 主 名 。 
每 个 CNAME 记录 的 属 主 名 也 必须 是 唯一 的 ; 单一 别名 不 能 解析 为 多 个 答案 。 如 我 们 
在 第 9 章 讨论 的 映射 反 向 域名 ， 对 于 这 项 功能 ，CNAME 记录 证 明 是 有 作用 的 。 

(2) DNAME 一 一 域 别名 记录 。 在 REC 2672"! 中 定义 的 DNAME 资源 记录 ， 支 持 
将 域名 空间 的 整个 子 树 映 射 到 男 一 个 域 。 开 发 DNAME 记录 的 主要 动力 是 ， 简 化 IP 
网 络 重新 编 址 对 DNS 的 影响 。 例 如 ， 如 果 运 行 ipamww. com 域 的 公司 被 acquired. com 
收购 ， 则 ipamww. com 名 字 空 间 可 想象 地 被 “移动 ”到 acquired. com 之 下 ,方法 是 添 
加 一 个 DNAME 记录 ， 如 下 所 示 。 


mE TTL 类 类 型 RData 
域名 别名 TTL IN DNAME 目标 域名 
ipamww. com. 86400 IN DNAME ipamww. acquired. com. 


在 ipamww. com 域 树 内 查找 主机 的 解析 器 ， 将 被 定向 到 ipamww. acquired. com 域 之 
下 查找 相同 主机 名 。 注 意 ， 这 个 场景 要 求 ipamww. com 的 资源 记录 和 子 域 要 移植 


(ported to) 到 acquired. com 域 树 内 其 对 应 的 区 域 文件 。RFC 2672 规定 ，DNAME 属 主 
(在 这 个 情形 中 是 ipamww. com. ) 区 域 一 定 不 能 有 任何 子 域 ， 也 不 能 包含 除 DNAME 
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和 可 能 CNAME 资源 记录 之 外 的 任何 资源 记录 。 
10.2.3 网 络 服务 定位 


在 一 个 网 络 上 启动 的 IP 设备， 经 常 需要 寻找 特定 的 服务 来 进行 设备 初始 化 。DH- 
CP 通过 指派 某 些 选项 值 (例如 TFTP 服务 器 IP 地 址 ) 的 方法 ， 提 供 了 某 个 层次 的 服 
务 定 位 ， 同 时 DNS 使 用 服务 定位 资源 记录 类 型 (SRV) 提供 了 一 种 服务 定位 机 制 。 
SRV 记录 是 一 种 非 DHCP 客户 端 或 初始 化 后 查找 服务 的 客户 端 定位 提供 所 请 求 服务 的 
服务 器 的 方法 。 

如 果 自 Windows 2000 出 现 以 来 ， 您 都 一 直 使 用 微软 客户 端 和 域 控制 絮 的 话 ， 那 
您 可 能 非常 熟悉 SRV 记录 了 。 当 Windows 域 控 制 器 启动 时 ， 它 为 其 A 记录 和 SRV id 
录 实 施 一 次 动态 DNS (DDNS) 更 新 ,使 它们 可 有 效 地 公告 服务 的 可 用 性 。 通 过 在 属 
主 字段 内 使 用 下 划 线 ， 也 可 容易 地 识别 这 些 记录 。 对 于 一 个 给 定 域 ，SRV 记录 属 主 
是 通过 串 接 一 项 特定 服务 组 成 的 ， 可 通过 一 个 特定 协议 (TCP 或 UDP) 使 用 这 些 服 
务 。 为 了 消除 与 有 效 域 名 的 冲突 ， 加 入 了 下 划 线 。 虽 然 从 技术 角度 来 说 ， 依 据 DNS 
RFC 1035， 下 划 线 不 是 一 个 有 效 的 主机 域名 字符 ， 但 通过 检查 名 字 选 项 参数 可 配置 微 
软 服务 器 和 BIND 服务 器 ， 使 其 容忍 下 划 线 字符 。 虽 然 使 用 SRV 记录 是 一 个 常见 例 
F, SRV 记录 当然 不 限于 Windows 应 用 ， 但 迄今 为 止 在 Windows 应 用 之 外 采用 这 种 方 
法 的 做 法 还 是 有 限 的 。 

(1) SRV 一 一 服务 定位 记录 。 使 用 SRV 记录 的 做 法 ， 使 解析 器 客户 端 识别 提供 
特定 服务 的 服务 器 成 为 可 能 ， 这 些 服务 如 LDAP, Kerberos 以 及 其 他 服务 。 在 微软 
Windows 客户 端 定位 Windows 域 控制 器 的 过 程 中 ， 这 个 记录 是 至 关 重 要 的 。 


= 


属 主 TTL 类 类 型 RData 
服务 编码 TTL IN SRV 优先 级 权重 端口 目标 主机 域名 
_Idap. _tep. ipamww. com. 86400 IN SRV 10 0 389 ldap. ipamww. com. 


属 主 字段 由 一 个 给 定 域 的 特定 服务 串 接 组 成 ， 可 通过 一 个 特定 协议 (TCP 或 
UDP) 使 用 这 项 服务 。RData 字段 包括 一 个 优先 级 字段 ， 当 返回 多 个 SRV 记录 时 ， 该 
字段 指令 客户 端 使 用 具有 数值 较 低 优先 级 的 目标 (SRV 记录 ) 。 

使 用 权重 字段 来 进一步 将 有 相同 优先 级 的 记录 作出 优先 区 分 。 端 口 是 TCP 或 


UDP 端口 号 ， 用 来 访问 给 定 服务 ;访问 目标 (target) 是 运行 具体 服务 之 服务 器 的 主 
机 域名 。 
如 果 DNS 服务 器 也 不 作为 附加 信息 返回 ， 则 客户 端 可 请 求 主机 相应 的 A 或 


AAAA 记录 ， 将 主机 指派 为 目标 ， 目 的 是 完成 解析 过 程 。 一 些 例子 如 下 : 

_ ldap. _ tep. ipamww. com. 86400 IN SRV 10 5 389 ldapeastl. ipamww. com. 

_ ldap. _ tcp. ipamww. com. 86400 IN SRV 10 10 389 Idapeast2. ipamww. com. 

_ ldap. _ tep. ipamww. com. 86400 IN SRV 20 1 389 Idapeast3. ipamww. com. 

在 上 述 三 个 样 例 SRV 记录 中 ， 将 首先 使 用 第 二 条 记录 。 它 与 第 一 条 记录 具有 相 
同 的 最 低 优先 级 数字 (10) ， 但 它 的 优先 级 字段 (10) 比 第 一 条 记录 (5) 高 , 第 三 
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条 记录 将 最 后 被 使 用 ， 原 因 是 它 虽 然 有 低 的 权重 ， 但 却 有 较 大 的 优先 级 数值 。 

在 上 述 例子 中 的 端口 号 389 是 给 定 服务 的 TCP 或 UDP 端口 号 ， 目 标 (target) 是 
运行 所 指派 服务 的 服务 器 的 主机 名 。 如 果 也 不 作为 从 DNS 服务 器 发 出 消息 的 附加 节 
返回 ， 则 客户 端 要 请 求 主机 相应 的 A 或 AAAA 记录 ， 将 主机 指派 为 对 应 的 目标 ， 目 
的 是 完成 解析 过 程 。 从 语义 角度 而 言 ， 不 需要 在 后 两 条 记录 中 列 出 属 主 字段 (假定 
它们 是 在 区 域 文 件 内 按 顺 序列 出 的 ) ， 但 我 们 却 列 出 了 属 主 字段 ， 目 的 是 强调 针对 一 
条 _ ldap. _ tcp. ipamworldwide. com 的 SRV 查询 ， 会 返回 这 三 条 记录 。 

(2) AFSDB——DCE 或 AFS 服务 器 记录 (试验 型 的 ) 。 在 RFC 1183"! 中 定义 了 
AFSDB 记录 ， 其 目的 是 支持 一 台 服 务 器 的 定位 ， 特 别 是 AFS (这 是 Transarc 公司 的 一 
个 注册 商标 ， 最 初 是 Andrew File System (安德鲁 文件 系统 ) 的 缩写 ) 和 开放 软件 基 
金 会 的 分 布 式 计 算 环 境 (DCE) 的 服务 定位 。 


mE TTL 类 类 型 RData 
单元 域名 TTL IN AFSDB 子 类 主机 域名 
ipamworldwide. com. 86400 IN AFSDB 1 afsdb1. ipamworldwide. com. 
RData 字段 组 成 如 下 。 


1) 子 类 型 字段 ， 它 识别 单元 域名 ( 子 类 型 =1) W AFS 3.0 卷 位 置 服务 器 或 给 
定单 元 域名 的 DCE 目录 服务 的 服务 器 ( 子 类 型 =2) 。 

2) 主机 域名 字段 识别 服务 器 主机 名 。 

AFSDB 资源 记录 没有 被 广泛 使 用 ， 原 因 是 该 SRV 资源 记录 类 型 在 DNS 内 提供 通 


用 的 服务 器 定位 功能 ， 事 实 上 ，RFC 5864 规范 了 用 于 AFS 的 SRV 记录 使 用 情况 。 
(3) WKS 一 一 周知 的 服务 记录 (历史 型 的 ) 。 这 个 资源 记录 类 型 识别 周知 的 服 


务 ， 例 如 FTP telnet 以 及 其 他 服务 ， 它 们 是 在 一 个 特定 卫 地 址 上 可 用 的 ， 为 一 台 主 


机 使 用 一 个 特定 的 协议 (TCP 或 UDP) 。 这 个 记录 没有 被 普遍 使 用 ， 原 因 是 SRV 记录 
提供 了 类 型 的 功能 。 
属 主 TIL 类 类 型 RData 
主机 域名 TTL IN WKS IPv4 地 址 协议 服务 
server. ipamww. com. 86400 IN WKS 10.0. 199.35 TCP SMTP FTP 


10.2.4 主机 和 文本 信息 查找 


TXT 记录 是 承载 (workhorse) 资源 记录 类 型 之 一 ， 经 常用 作 一 个 中 间 (interim) 
资源 记录 ， 文 持 特定 应 用 正在 (pending) 标准 化 的 过 程 和 实现 。TXT 记录 支持 一 个 
通用 索引 名 的 查找 ， 例 如 一 个 域名 、 主 机 域名 或 其 他 属 主 值 ， 并 返回 任意 的 文本 信 
息 。 最 近 ，TXT 记录 已 用 作 DDNS 更 新 唯一 性 检查 (现在 是 DHCD 记录 类 型 ) 和 降 
低 垃圾 邮件 的 应 用 (SPF 记录 类 型 ) 的 中 间 阶 段 支 持 ， 这 两 者 在 本 章 后 面 讲解 。 

(1) TXT 一 一 文本 记录 。 文 本 记录 文 持 将 多 达 255B 的 任意 二 进 制 数据 与 一 个 资 
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源 记录 的 关联 。 在 提供 新 服务 的 中 间 阶 段 支 持 方面 ， 它 已 被 证 明 是 有 多 种 功能 的 


( very versatile) 。 


BE TTL 类 类 型 RData 
索引 名 TTL IN TXT 任意 文本 数据 
Txt. cfo. ipamww. com. 86400 IN TXT “CFO Office (610 )555-1212” 


(2) HINFO 一 一 主机 信息 记录 。HINFO 资源 记录 的 RData 字段 支持 对 一 台 主 机 的 
处 理 器 和 操作 系统 的 查找 。 


属 主 TTL 类 类 型 RData 
主机 域名 TTL IN HINFO CPU 操作 系统 
sfl. ipamww. com. 86400 IN HINFO VAX 770/11 UNIX 


(3) HIP 一 一 主机 身份 协议 记录 (试验 型 的 )。HIP 资源 记录 类 型 ， 支 持 试验 型 
的 主机 里 份 协议 (HIP)， 它 本 质 上 是 将 一 个 主机 名 与 一 个 IP 地 址 的 关联 进行 了 抽 
R, 方法 是 在 解析 过 程 中 插入 了 一 个 “主机 里 份 ” 层 。 这 使 一 个 域名 与 一 个 主机 身 
份 的 关联 成 为 可 能 ， 之 后 主机 身份 与 一 个 或 多 个 IP 地 址 关联 。 一 个 应 用 或 上 层 协议 
可 通过 该 HIP 资源 记录 查找 一 台 主 机 ， 并 得 到 主机 标识 符 〈 以 一 个 公开 密 钥 的 形式 
表示 ) 和 其 他 主机 身份 信息 ， 包 括 主机 或 一 台 汇 聚 服务 器 的 IP 地 址 ， 通 过 汇聚 服务 
器 可 连接 到 移动 设备 。 


属 主 TTL 类 类 型 RData 
主机 域名 TTL IN HIP HIT Len. PK Alg PK Len. HIT 公开 密 钥 RVS 
Hiphost ipamww. com. | 86400 IN HIP 16 2 24 lil- 8L9d--- rs. ipamww. com 


Rdata 字段 定义 如 下 。 

1) HIT Len ( HIT 长度)。 以 字 节 表示 的 主机 身份 标签 (HIT) 的 长 度 ; 这 个 字 
段 是 由 服务 器 插入 的 ， 目 的 是 线路 (wire) 传输 ， 在 一 个 区 域 文 件 内 是 不 显示 的 。 

2) PK Alg (PK 算法 ) 。 用 于 产生 公开 密 钥 的 算法 

Q@ 0 = 不 存在 密 钥 。 

@) 1 =DSA 格式 的 密 钥 。 

@ 2 = RSA 格式 的 密 钥 。 

3) PK Len (PK 长 度 ) 。 以 字 节 为 单位 表示 的 公开 密 钥 长 度 ; 这 个 字段 是 由 服务 
器 插入 的 ， 目 的 是 线路 (wire) 传输 ， 在 一 个 区 域 文件 内 是 不 显示 的 。 

4) HIT。 主 机 身份 标签 ， 这 是 主机 标识 符 的 128bit 散 列 值 。 

5) 公开 密 钥 。 与 主机 关联 的 公开 密 钥 ， 可 用 于 验证 来 自主 机 的 签名 消息 。 

6) RVS (可 选 的 ) 。 一 个 或 多 个 汇聚 服务 器 主机 域名 ， 用 于 连接 到 移动 设备 。 

(4) RP 一 一 负责 人 记录 。RP 资源 记录 使 一 个 电子 邮件 地 址 和 其 他 文本 信息 与 域 
树 中 的 一 个 节点 〈 是 一 台 端 主机 或 域 ) 关联 成 为 可 能 。RData 字段 包含 一 个 电子 邮件 
地 址 ， 其 格式 为 不 带 @ 号 的 形式 ;相反 ,一 个 点 号 (. ) 奉 代 了 @ 号 。RData 字段 的 
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第 二 个 字段 指明 这 样 一 个 记录 ， 它 用 于 附加 文本 信息 ， 可 作为 一 个 附加 查询 的 答案 。 
属 主 TTL 类 类 型 RData 
主机 域名 TTL IN RP 电子 邮件 地 址 TXT 指针 
payroll. ipamww. com. | 86400 IN RP cfo. ipamww. com. cfo- contactinfo. ipamww. com. 


在 上 面 的 这 个 例子 中 ， 我 们 使 用 一 条 RP 记录 ， 将 支付 服务 器 与 我 们 的 CFO 关联 
起 来 , 通过 cfo@ ipamww. com 可 找到 他 (在 电子 邮件 地 址 字段 中 以 “. ”替换 
“@”), TXT 指针 字段 指向 包含 附加 信息 的 一 个 资源 记录 ， 例 如 下 例 : 

cfo-contactinfo. ipamww. com. 86400 IN TXT “CFO Office (610) -555-1212” , 


10.2.5 DNS 协议 运营 性 的 记录 类 型 


两 个 “管理 型 的 ”资源 记录 类 型 ， 使 区 域 权威 信息 (SOA 记录 ) 的 规范 确定 成 
为 可 能 ， 还 有 使 这 个 域 及 子 域 (NS) 的 名 字 服 务 器 的 委派 成 为 可 能 。 对 于 保持 一 个 
区 域内 DNS 数据 同步 以 及 保持 委派 链 实际 上 是 沿 域 树 向 下 的 关系 ， 要 使 这 两 方面 高 
效 可 操作 ， 这 两 个 记录 类 型 是 有 指导 作用 的 (instrumental ) 。 
(1) SOA 一 一 权威 起 始 记录 。 对 每 个 区 域 ， 仅 可 有 一 个 SOA 记录 ， 如 果 存 在 初 
WERA TTL ( $ TTL) 语句 ， 则 在 区 域 文件 中 后 跟 该 语句 。SOA 记录 定义 了 这 个 区 域 
的 权威 域名 ， 还 有 附加 的 区 域 维 护 信 息 。SOA 记录 由 如 下 字段 组 成 。 


属 主 TTL 类 类 型 RData 

Mname 联系 信息 ”序列 号 ”刷新 间隔 ” 重 试 间隔 
成 名 TTL IN SOA 4 
e 超时 间隔 “负面 缓存 


nsl. ipamww. com admin. ipamww. com. 3945 2h 30m 


ipamww. com. 86400 IN SOA 
lw ld 


1) 这 个 区 域 文件 的 域名 ， 包 含 权 威信 息 。 

2) TTL， 存 活 时 间 。 

3) 记录 类 (对 于 因特网 是 IN)。 

4) 记录 类 型 (SOA). 

5) 主 DNS 服务 器 名 ( MNAME)。DNS 服务 器 的 名 字 ， 它 是 这 个 域 (区 域 ) 的 
主 服务 器 。 

6) 域 联系 人 的 邮件 地 址 (将 “@ ”替换 为 “.”， 从 而 admin @ ipamworld- 
wide. com 写 为 admin. ipamworldwide. com. ) 。 注 意 在 @ 号 之 前 带 有 点 号 的 电子 邮件 地 
址 ， 应 该 以 一 个 和 斜 线 为 前 级 。 因 此 super. admin @ ipamww. com 将 被 编码 为 super \ 

. admin. ipamww. com, 

7) 区 域 的 序列 号 。 在 每 对 区 域 数据 作出 一 次 改变 时 ， 就 增加 1 一 一 这 使 从 属 服 
务 器 能 够 识别 对 区 域 数 据 所 作 的 改变 。 

8) 刷新 间隔 。 从 属 服务 器 查询 主 服务 器 ， 请 求 区 域 更 新 的 时 间 周 期 。 

9) 重 试 时 间 。 如 果 不 能 联系 到 主 服务 器 ， 则 从 属 服务 器 将 等 待 这 段 时 间 量 ， 再 
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重 试 联系 主 服务 器 。 

10) 超期 时 间 。 如 果 在 这 段 超期 时 间 量 之 后 ， 不 能 联系 到 主 服务 器 ， 则 从 属 服 
务 器 将 删除 区 域 信 息 ， 并 不 再 认为 它 自 己 是 权威 的 ， 由 此 对 此 区 域 的 权威 性 就 过 
期 了 。 

11) 负面 的 缓存 TTL。 维 护 来 自 其 他 服务 器 的 负面 响应 的 缓存 时 间 段 ， 例 如 一 个 
指定 的 域 或 记录 不 存在 。 

我 们 的 ipamww. com 区 域 文件 的 一 条 范例 SOA 记录 ， 也 许 看 起 来 有 点 像 ipam- 


ww. com. IN SOA dnsl. ipamww. com dnsadmin. ipamww. com ( 


1 ; serial number 

2h ; refresh interval of 2 hours 

30m ; retry after 30 minutes 

lw ; expire after 1 week 

1d) ; negative caching TTL of 1 day 

(2) NS 一 一 名 字 服 务 器 记录 。NS 记录 支持 对 一 给 定 区 域 的 权威 名 字 服 务 器 的 查 
找 。 对 于 NS 数据 库 的 分 发 而 言 ，NS 记录 是 关键 。 在 将 一 个 子 域 委派 给 另 一 个 管理 权 
威 的 过 程 中 ， 出 于 元 余 性 考虑 ， 子 域 管理 员 必 须 运 行 至 少 两 台 名 字 服 务 器 。 在 遍历 域 
树 时 ， 这 些 NS 记录 使 域 树 中 沿 解析 路 径 被 查询 的 名 字 服 务 器 ， 能 够 以 指向 沿 树 向 下 
NARA FIRS AAA] (referral) 作出 应 答 ， 该 名 字 服 务 器 拥有 拟 查 找 目的 地 的 


更 多 信息 。 每 个 区 域 也 必须 针对 其 权威 名 字 服 务 器 ， 至 少 声明 两 条 NS 记录 。 

属 主 TTL 类 类 型 RData 

in, TTL IN NS BF NRA A 
ipamworldwide. com. 86400 IN NS nsl. ipamworldwide. com 


注意 在 RData 字段 中 的 名 字 服 务 咒 主机 名 ， 应 该 有 一 条 相应 的 A 或 AAAA 记录 ， 
以 便 完成 到 一 个 可 达 IP 地 址 的 必 备 解析 。 这 被 称 作 一 条 “ 黏 结 ”记录 ， 原 因 是 它 将 
所 期 望 域 的 权威 名 字 服 务 器 主机 名 的 解析 与 那 台 名 字 服 务 融 的 卫 地 址 “ 务 结 ”在 
一 起 。 


10.2.6 动态 DNS 更 新 唯一 性 验证 


DHCID 一 一 动态 主机 配置 识别 符 记 录 。 动 态 DNS LFF DHCP 客户 端的 指派 IP 地 
址 信息 的 DNS 信息 更 新 。 因 此 ， 代 表 客 户 端的 一 台 DHO 服务 器 ， 或 客户 端 自己 ， 
都 能 够 以 客户 端的 IP 地 址 或 主机 名 关联 ， 通 过 A/AAAA 和 PTR2 记录 ， 更 新 DNS, 
非常 有 可 能 出 现 如 下 情形 ， 即 同一 主机 名 /FQDN 可 能 为 多 个 DHCP 客户 端 所 声明 ， 
或 一 个 客户 端 声明 一 个 主机 名 ， 但 该 主机 名 已 经 被 指派 给 一 个 预先 确定 的 〈 例 如 ， 
静态 分 配 地 址 的 情形 ) 设备 。 


”在 DHCID RFC 中 ,将 客户 端 识别 信息 与 PTR 记录 相关 联 ， 当 前 是 没有 规范 的 。 
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DHCP 记录 提供 在 DNS 中 的 客户 端 识别 信息 ， 以 此 
主机 名 /FQDN ( 正 由 该 DHCP 服务 器 更 新 的 ) 相关 联 。DHCID 记录 将 在 DNS 更 新 消 
息 的 前 提 条 件 节 中 定义 ,目的 是 验证 更 新 的 记录 “ 
节 ， 了 解 更 多 细节 以 及 这 个 前 提 条 件 处 理 的 一 个 例子 。 


DHCID 记录 使 用 相应 A 或 AAAA 记录 的 相同 的 


一 地 将 特定 DHCP 客户 端 与 


属 主 ” 。 请 参看 前 一 章 的 DNS 更 新 


属 主 字 段 。 该 记录 的 RData 部 分 是 


这 样 形成 的 ， 即 在 如 下 串 接 字段 之 上 使 用 SHA-256 算法 ， 实 施 一 个 单 向 安全 散 列 函数 。 


自 


© o 


型 码 (2B) 。 识 别 生成 这 个 散 列 值 中 使 用 的 在 DHCP 报 文 内 部 的 信 


1) 识别 符 类 


可 能 信息 包括 客户 端 硬 件 地 址 、 客 户 端 识别 符 选项 或 设备 P 


一 识别 符 (DUID)。 


2) 摘要 类 型 码 (1B) 。 识 别 散 列 算法 。RFC 定义 了 数值 0 (保留 ) 或 1 (SHA- 


256) ， 但 IANA 维护 了 未 来 数值 指派 的 一 个 注册 机 制 (registry) 。 
3) KA DHCP 报 文 的 数据 的 摘要 ， 是 由 识别 符 值 与 客户 端的 FQDN 串 接 加 以 识别 的 。 
属 主 TIL 类 类 型 RData 
主机 域名 dae, he oan ae 摘要 类 型 | 识别 符 类 型 fqdn | 的 SHA-256 散 
w3. ipamww. com. | 86400 IN |DHCID | A1B87Y2/AuCcg8e93aQcjl. . . 


10.2.7 电话 号 码 解析 
DNS 被 证 明 功 能 是 非常 多 样 的 ， 其 至 可 被 用 来 将 电话 号 码 映 射 为 IP 地 址 ， 这 对 


于 VoIP 应 用 或 全 应 用 上 的 相关 电话 功 
号 码 映射 ) 服务 来 支持 这 样 的 解析 。ENUM 以 ITU E. 164 格式 支持 将 


An 
能 是 


有 用 的 。 已 经 定义 了 ENUM (E. 164 电话 
电话 号 码 映 射 为 


统一 的 资源 识别 符 ( URI) 。 这 个 喘 射 主要 是 由 命名 权威 指针 (NAPTR) 资源 记录 
类 型 来 实施 。 


eae 
Ea, 


多 数 企 业 IP PBX 系统 提供 它们 自己 的 目录 ， 将 内 部 PBX 


电话 号 码 映射 到 


目的 电话 的 卫 地 址 ， 所 以 在 这 样 的 环境 中 ENUM 通常 是 不 能 实现 的 。 但 是 ，VoIP 提 


供 商 具有 既得 利益 ， 最 大 限度 地 确保 
接 入 网 络 上 ， 以 便 降低 支付 给 非 伙 伴 网 络 提供 商 (RA 


笠 叫 保持 在 他 们 的 或 他 们 合作 伙伴 的 IP 网 络 和 
车 的 情况 下 ， 文 付 给 竞争 对 


手 ) 的 呼叫 处 理 成 本 。ENUM 是 依据 


提供 到 多 个 目的 地 的 解析 ， 在 可 达 性 或 联系 管理 类 型 应 用 


正如 刚刚 提 到 的 ，NAPTR 资源 记录 提供 了 将 


电话 号 码 映 射 或 解析 而 支持 这 种 呼 1 
键 。 那 并 不 是 说 ， 您 不 能 在 企业 网 络 内 看 到 ENUM 的 使 用 。ENUM 采用 优先 级 设置 ， 


话 号 码 信 息 翻 


WAR 


ab 
He 


| 符 的 功能 。 当 前 在 RFC 3403"! 中 定义 ，NAPTR 记录 最 初 是 月 
的 ， 即 为 动态 委派 发 现 系统 (DDDS) 提供 迭代 地 将 任意 一 


中 它 可 找到 应 用 


WEA AS 


个 


1 路 由 的 关 


用 途 。 


和 统一 资源 


来 定义 提供 如 下 功 


Po rr g 


FAT AB fi 


iT A 


URI 的 功能 。 在 RFC 3402'' 中 提供 了 有 关 DDDS 的 一 些 背 景 信息 ， 但 它 最 初 源 于 这 样 


的 期 望 ， 即 定义 一 个 


大 


一 个 URI 是 一 个 
成 。 


ipamworldwide. com/file. txt, 


© 


解析 过 程 ， 它 可 输入 一 个 资源 名 (例如 一 个 特定 应 用 或 特定 数 


特 网 识别 符 , 由 一 个 统一 的 资源 名 CURN) 和 一 个 统一 的 资源 定位 符 (URL) 组 
一 个 简单 例子 : 对 于 URL http; //ipamworldwide. com 和 URN file. txt, 对 应 的 URI 是 http: // 


第 10 DNS 应 用 和 资源 记录 157 


据 片 ) ， 在 其 中 没有 包含 网 络 位 置信 息 ， 并 将 其 解析 到 一 个 目的 资源 识别 符 ， 方 法 是 对 
一 个 数据 库 施 用 一 系列 迭代 规则 。 资 源 名 的 规范 与 定位 或 解析 它 的 过 程 的 这 种 分 离 方 
法 ， 有 利于 作出 改变 和 资源 的 重新 委派 ， 而 不 影响 端 用 户 应 用 的 命名 惯例 。 

这 项 工作 扩展 超出 了 解析 资源 名 的 范畴 ， 扩 展 到 支持 通用 查找 字符 串 的 解析 ， 并 
演化 成 DDDS， 它 使 用 DNS 作为 规则 数据 库 的 一 种 形式 。NAPTR 记录 支持 在 DNS 内 
部 指定 这 样 的 规则 ， 有 时 要 使 用 多 条 NAPTR 记录 来 完整 地 完成 解析 过 程 。 每 条 NAP- 
TR 记录 将 一 个 给 定 的 项 字符 串 ( 即 一 个 有 效 的 DNS 域名 ) 转换 为 一 条 规则 ， 该 规则 
可 施用 到 该 字符 串 ， 从 而 推导 出 要 查找 的 下 一 个 字符 串 。 直 到 到 达 一 条 终结 规则 ， 以 
及 最 终结 果 被 返回 到 发 出 请 求 的 应 用 ， 这 个 过 程 的 迭代 才 终 止 。 

对 于 在 IP 上 提供 语音 服务 的 服务 提供 商 而 言 ，NAPTR 记录 是 E. 164 电话 号 码 映 
射 服务 器 的 构造 块 。RFC 3761 中 为 ENUM 应 用 提供 了 NAPTR 字段 的 “应 用 特定 的 ” 
解释 。 一 条 NAPTR 记录 可 被 用 来 查找 一 个 目的 电话 号 码 ， 并 将 该 号 码 解析 为 一 个 目 
的 地 ， 例 如 一 台 会 话 初始 协议 (SIP) 服务 器 、 电 子 邮件 地 址 或 其 他 URI 格式 的 目的 
地 。NAPTR 记录 也 支持 定义 正则 表达 式 的 能 力 ， 它 提供 逻辑 规则 ， 作 为 解析 其 定位 
拟 到 目的 地 过 程 的 “下 一 步 ”。 

E. 164 是 格式 化 电话 号 码 的 一 个 国际 电信 联盟 (ITU) 标准 。“ 完 全 合格 的 ” 电 
话 号 码 ， 意 味 着 它们 是 全 球 唯一 的 ， 给 定 国家 码 前 绥 后 跟 一 个 国家 特定 的 电话 号 码 格 
式 ， 被 表示 为 带 有 一 个 加 号 前 绥 ， 例 如 +1 -610 -555 -1234。 这 很 像 IP 的 反 向 域 情 
形 ， 将 一 个 电话 号 码 格式 化 ， 要 求 从 左 到 右 读 取 资 源 记 录 的 一 个 类 似 惯例 ， 这 是 从 比 
较 具体 到 不 太 具 体 的 过 程 。 这 个 惯例 要 求 将 完全 合格 的 电话 号 码 (去 掉 加 号 ) 反 向 ， 
并 将 每 个 数字 以 “点 ”号 〈. ) 分 隔 。 

主要 . arpa 顶层 域 的 使 用 。 类 似 于 
ip6. arpa 和 in-addr arpa. Jk 结 构 ，e- 
164. arpa 域 是 一 个 “ 反 向 ” 域 , 其 中 它 文 
持 一 个 带 结构 数字 值 的 查找 ， 即 一 个 电话 
EET 像 其 他 . arpa 查找 一 样 ， 域 结构 也 是 4.3.2.1.5.5.5.0.1.6.1.e164.arpa. 

从 底 向 上 组 织 的 ， 从 一 般 到 特殊 ， 或 国家 Mkr 比较 不 太 = 根 域 
代码 到 电话 线 号 码 的 顺序 。 因 此 ， 完 全 格 树叶 HU 
式 化 的 E. 164 电话 号 码 是 反 向 的 ， 每 个 数 图 10-2 ”映射 到 域 结 构 的 电话 号 码 

字 采 用 点 号 分 隔 ， 并 附加 e164. arpa. 域 后 

级 ， 如 图 10-2 所 示 。 

这 个 结构 恰如其分 地 导入 到 电话 号 码 空间 的 分 段 。 例 如 ， 域 1. e163. arpa 指 代 所 
有 国家 代码 为 1 的 电话 号 码 ， 并 可 被 委派 给 这 样 的 一 个 号 码 权威 机 构 。 类 似 地 ， 
44. e164. arpa. 可 被 委派 给 英国 电话 号 码 权 威 机 构 。 在 每 个 这 样 的 域内 ， 可 依据 国家 
的 编号 计划 ， 完 成 进一步 的 委派 。 例 如 ， 在 美国 国内 ， 一 个 区 域 代码 代表 下 一 个 逻辑 的 
管理 委派 点 ， 后 面 串 接 交 换 机 (exchange) 。 因 此 ，1. e164. arpa 可 将 0. 1. 6. 1. e164. arpa. 
区 域 委派 给 610 区 域 码 的 编号 管理 员 ， 他 接 下 来 将 5. 5. 5. 0. 1. 6. 1. e164. arpa. 委派 给 610 
区 域 码 内 负责 555 交换 机 的 那些 管理 员 。 


+1— 610-555-1234 


RK 比较 个 体 
国家 代码 详细 的 详细 的 电路 
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(1) NAPTR 一 一 命名 权威 点 记录 。NAPTR 记录 提供 将 一 个 字符 串 ? 或 电话 号 码 
言 息 转换 为 目的 统一 资源 识别 符 的 方法 。NAPTR 记录 利用 上 而 在 其 自己 字段 内 描述 
的 e164. arpa. 域 命 名 惯例 ， 用 作 电 话 号 码 的 查找 格式 。 不 幸 的 是 ， 迄 今 为 止 这 是 唯一 
容易 的 部 分 。NAPTR 记录 在 其 RData 字段 内 包含 许多 附加 的 子 字段 。 下 面 描述 附加 
的 子 字段 ， 为 NAPTR 记录 的 ENUM 应 用 提供 了 多 个 例子 。 

1) 顺序 (Order) 字段 。 指 定 RRSet 内 多 条 记录 被 处 理 的 顺序 ; 首先 处 理 低 编号 
顺序 的 记录 。 

2) 优先 级 字段 。 指 定 带 有 相等 “顺序 ” 值 的 记录 被 处 理 的 顺序 。 首 先 处 理 低 编 
号 优先 级 的 记录 。 

3) 标志 。 就 解析 过 程 中 “下 一 查找 ”提供 有 关 信 息 。 迄 今 为 止 ， 已 经 定义 了 四 
个 标志 数值 ， 但 标志 字段 可 以 是 空 的 。 

QD“u” 这 条 记录 的 正则 表达 式 的 输出 是 一 个 统一 的 资源 识别 符 ， 即 这 是 一 个 终 
结 解析 。 

@“s” 下 一 条 查找 应 该 是 针对 SRV 记录 的 。 

(@)“a” 下 一 条 查找 应 该 是 针对 A, A6 或 AAAA 记录 的 。 

(@“p” 依 据 服务 字段 中 确定 的 协议 ， 下 一 个 查找 是 特定 于 协议 的 。 

4) 服务 。 这 个 字段 对 服务 编码 ， 这 些 服务 基于 存在 疑问 的 应 用 ， 是 可 用 的 。 这 
个 字段 包括 所 提供 解析 的 类 型 、 一 个 “ +” 号 或 冒号 ， 后 跟 协 议 值 ， 例 如 http, sip, 
mailto, 、ftp 、tel， 还 有 其 他 的 协议 ， 这 里 仅 列举 这 些 ? 。 类 型 或 解析 的 例子 包括 以 下 
内 容 。 

D PL。URI 到 URL。 

© N2L。 统 一 资源 名 (URN) 到 URL, 

(3) E2U, ENUM 服务 到 URI, 

5) 正则 表达 式 。 需 要 评估 计算 的 一 个 编码 过 的 表达 式 。 这 个 字段 的 语法 是 一 个 
sed 风格 的 表达 式 。 

6) 蔡 代 。 在 没有 一 个 正则 表达 式 条 件 下 ， 一 个 替代 的 “下 一 查找 ”完全 合格 的 


域名 。 
BE TTL 类 类 型 RData 
顺序 ”优先 级 标志 服务 E 
成 名 TTL IN NAPTR ia Rie 
则 表达 式 EMR 
105 “s” “N2L + http” “” 
me. Ipamww. com 86400 IN NAPTR 


www. ipamww. com. 
10 20 “u” “E2U + sip” “! ^ 
86400 IN NAPTR $! sip;me@ 


ipamww. com. |” 


4. 3.2. 1. 5. 5. 5. 0. 1. 
6. 1. e164. arpa 


让 我 们 更 仔细 地 看 看 上 面 的 两 个 范例 NAPTR 记录 。 第 一 个 例子 提供 了 


O “字符 串 (复数 ) ” 指 代 文 本 或 数据 字符 串 〈 复 数 ) 。 幸 运 的 是 ， 这 不 是 DNS 的 “字符 串 理 论 ”。 
© 拟 了 解 ENUM 目前 指派 的 服务 值 ,请 参考 http: //www. iana. org/assignments/enum- services, 
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me. ipamww. com 解析 的 一 条 规则 。 标 志 字 段 值 “s” 向 解析 器 指明 ， 下 一 查询 应 该 是 
对 SRV 资源 记录 的 一 条 查询 。 服 务 字段 指明 使 用 HTTP 的 一 个 URN 到 URL 服务 。 
为 正则 表达 式 字 段 是 空 的 ， 所 以 替代 字段 被 用 作 解 析 处 理 的 结果 。 

第 二 个 例子 突出 了 一 个 ENUM 应 用 例 ， 其 中 可 解析 对 一 个 电话 号 码 的 查找 。“u” 
标志 指明 所 提供 正则 表达 式 的 结果 将 是 一 个 URI， 之 后 可 将 该 URI 解析 到 一 个 JP 地 
址 。 服 务 字 段 指明 使 用 SIP 的 ENUM 服务。 正则 表达 式 字 段 由 两 个 子 字段 组 成 ， 以 
“1” 字 符 封装 。 第 一 个 字段 包含 “^. * $”, 被 解释 为 “从 行 开始 C) 起 到 行 尾 
($) 实施 匹配 ， 零 个 或 多 个 ( * ) 字符 (. )”， 即 匹配 整个 属 主 字段 。 正 则 表达 式 
的 第 二 部 分 包含 “sip: me@ ipamworldwide. com”， 这 作为 我 们 正则 表达 式 的 结果 被 返 
回 。 在 这 种 情形 中 没有 使 用 替代 字段 。 

之 后 得 到 的 URI, sip: me@ ipamworldwide. com 将 发 起 一 条 DNS 查询 ， 查 询 ipam- 
worldwide. com 的 一 个 地 址 (A 或 AAAA) 记录 。 注 意 ， 一 些 DNS 服务 需 可 返回 相关 
A 或 AAAA 记录 ， 作 为 查询 响应 中 的 附加 信息 ， 它 包含 NAPTR 记录 。 得 到 的 IP 地 址 
将 被 用 作 目 的 地 址 ， 以 便 发 起 到 “me” 用 户 的 sip 会 话 。 


10.3 EMAIL 和 反 垃 圾 邮件 管理 


垃圾 电子 邮件 或 没有 被 请 求 的 块 (unsolicited bulk) 电子 邮件 ， 自 因特网 诞生 伊 
始 ， 一 直 就 是 无 聊 的 废话 ， 即 使 在 早期 日 子 里 它 也 是 经 常 不 被 赞同 的 一 种 做 法 。 尽 管 
如 此 ， 随 着 因特网 的 爆炸 式 增长 ， 垃 圾 邮件 的 总 量 似乎 增长 得 更 快 。 存 在 各 种 技术 来 
对 抗 垃圾 邮件 ， 多 数 这 样 的 技术 涉及 DNS 的 使 用 。 为 了 理解 DNS 如 何 能 够 帮助 减少 
垃圾 邮件 ,我们 将 首先 剖析 一 下 一 个 电子 邮件 的 传输 (包括 在 电子 邮件 交付 中 DNS 
的 角色 ) ， 之 后 回顾 一 下 在 各 种 反 垃圾 邮件 解决 方案 中 DNS 的 使 用 。 


10.3.1 电子 邮件 和 DNS 


典型 情况 下 ， 一 封 电子 邮件 源 于 一 个 人 ， 并 被 发 送 到 一 个 或 多 个 接收 者 。 每 个 电 
子 邮 件 地 址 的 格式 如 mailbox@ maildomain。 通 常情 况 下 ，mailbox (电子 邮箱 ) 指 代 人 
名 或 一 个 邮箱 的 主人 或 电子 邮件 账号 ， 而 maildomain (邮件 域 ) 典型 地 是 公司 或 因 特 
网 提供 商 名 字 ， 是 交付 到 对 应 邮箱 或 邮件 交换 中 心 (exchanger) 的 目的 域 。 电 子 邮 
件 是 用 如 下 方法 发 送 的 ， 使 用 一 个 电子 邮件 客户 端 ， 例 如 微软 Outlook 、Eudora 或 基 
于 web 的 客户 端 (例如 yahoo 和 google) ， 当 由 源 发 信人 发 送 时 ， 客 户 端 就 连接 到 一 个 
简单 邮件 传递 协议 (SMTP) 服务 器 (使 用 SMTP) 发 送 电子 邮件 。 就 像 电子 邮 件 的 
BRUSH tit FE, SMTP 服务 器 负责 将 电子 邮件 转发 到 它 的 目的 地 。 

为 了 消息 传输 ，SMTP 服务 器 必须 将 邮件 域 (maildomain) 解析 到 一 个 IP 地 址 。 
自然 地 这 是 使 用 DNS 对 邮件 交换 器 (MX) 记录 类 型 以 及 对 应 的 A 或 AAAA 记录 类 型 
的 查找 ， 完 成 这 项 工作 的 。 

MX 一 一 邮件 交换 器 记录 。 邮 件 交 换 器 记录 被 用 来 定位 一 个 特定 域 的 一 台电 子 邮 
件 服务 器 或 多 台 服 务 器 。 如 果 发 送 目的 地 为 tim@ ipamworldwide. com 的 一 封 电子 邮 
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件 ，SMTP 服务 器 将 使 用 DNS 寻找 可 为 ipamworldwide. com 域 中 各 用 户 接收 电子 邮件 
的 主机 (可 能 是 多 台 主 机 ) 。 可 为 每 个 域 构造 一 条 以 上 的 MX 记录 ， 每 条 记录 定义 时 
都 带 有 一 个 不 同 的 优先 级 数值 。 优 先 级 字段 的 使 用 ， 使 发 送 SMTP 服务 器 能 够 对 目的 
主机 (将 为 给 定 域 转发 电子 邮件 ) 进行 优先 级 排序 ， 如 果 不 可 用 ， 就 转向 第 二 个 
(或 第 三 个 等 ) 可 选 目 的 地 。 优 先 级 数值 越 低 ， 则 所 列 目 的 地 被 首选 的 可 能 就 越 高 。 
在 下 面 的 例子 中 ， 对 ipamworldwide. com 域 ， 有 两 条 MX 记录 。 目 的 smtpl ( 低 优先 级 
数值 ) 要 比 smtp2 优先 选中 。 但 是 ， 如 果 smtp] 不 可 用 ， 则 这 种 机 制 提供 电子 交付 的 
一 人 台 备 份 服务 器 。 


属 主 TTL 类 类 型 RData 
电子 邮件 目的 域 TTL IN MX 优选 ”邮件 服务 器 主机 域名 
ipamworldwide. com. 86400 IN MX 10 smtpl. ipamworldwide. com. 
ipamworldwide. com. 86400 IN MX 20 smtp2. ipamworldwide. com. 


注意 ， 为 了 完成 所 需 的 一 个 可 达 IP 地 址 的 解析 ， 在 RData 字段 内 的 邮件 服务 器 
主机 域名 必须 有 一 条 对 应 的 A 或 AAAA 记录 。 许 多 DNS 服务 器 在 MX 查询 响应 的 附 
加 节 内 提供 这 些 地 址 记录 。 

在 解析 目的 邮件 服务 器 时 ，SMTP 服务 器 使 用 SMTP 向 目的 地 发 送 该 消息 。 最 终 
的 目的 服务 器 ， 接 收 者 电子 邮件 客户 端 要 连接 到 该 服务 器 ， 它 必须 支持 邮局 协议 
(POP) 或 因特网 消息 存 取 协 议 (IMAP) ， 以 便 使 客户 端 可 检索 电子 邮件 消息 。 因 此 ， 
当 您 的 电子 邮件 客户 端 执 行 一 条 “sendvreceive” ( 发送/ 接收 ) 操作 时 ， 它 利用 SMTP 
将 外 发 消息 发 送 到 其 配置 的 SMTP 服务 器 ， 利 用 POP 或 IMAP 从 配置 的 POPZIMAP 服 
务 器 (可 能 是 多 台 ) 处 检索 收 到 的 电子 邮件 消息 。 

图 10-3 突出 显示 了 两 台 服 务 器 间 一 个 非常 简单 的 SMTP 事务 ( 当 我 的 朋友 迈克 
发 送 给 我 一 条 电子 邮件 时 ) 。 在 图 的 左 侧 ,迈克 使 用 他 的 电子 邮件 客户 端 ， 撰 写 一 封 
给 tim@ ipamworldwide. com 的 电子 邮件 ， 并 发 送 该 邮件 。 依 据 针 对 ipamworldwide. com 
的 MX 记录 (可 能 是 多 条 ) 解析 结果 ， 他 所 配置 的 SMTP 服务 器 将 该 消息 转发 到 目的 
服务 器 。 他 的 SMTP 服务 器 在 端口 25 上 发 起 到 所 解析 目的 服务 器 的 一 条 TCP 连接 。 

一 且 建 立 TCP 会话 ， 则 SMTP 应 用 就 利用 该 会 话 进行 握手 ， 并 处 理 消息 。 消 息 的 
信封 部 分 以 HELO (或 EHLO， 这 是 增强 的 HELO) 开始 ， 它 携带 发 送 实体 的 身份 。 
MAIL FROM 语句 指明 消息 的 源 ， 后 跟 RCPT TO 语句 ， 指 明 目 的 邮箱 。 在 交换 过 程 中 
的 此 点 ， 如 果 目 的 邮箱 未 知 或 被 阻止 ， 或 如 果 “ 来 源 地 址 ” (from address) 是 被 禁止 
的 ， 则 接收 者 服务 器 可 拒绝 接收 消息 ， 并 关闭 连接 。 和 否则 ， 事 务 继续 进行 ， 接 着 传递 
数据 或 消息 部 分 ? 。 接 收 邮件 交换 器 存储 电子 邮件 消息 或 将 其 转发 到 目的 邮箱 所 在 的 
服务 器 。 

接收 电子 邮件 服务 器 所 使 用 的 存储 转发 方法 ， 也 可 由 中 间 电 子 邮 件 网 关 ( 即 消 


”注意 一 封 电 子 邮件 的 消息 部 分 是 由 一 个 头 部 和 体 组 成 的 ,作为 一 个 参考 文献 ，RFC 282111) 定义 
SMTP 规范 ， 而 RFC 282204 定义 了 电子 邮件 的 因特网 消息 格式 ， 它 定义 有 效 的 头 和 数据 语法 。 
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息 传递 代理 ) 使 用 ， 用 来 提供 多 跳 电子 邮件 交付 。 如 上 所 述 ， 一 个 目的 邮件 域 到 多 
个 MX 记录 的 解析 ， 意 味 着 识别 一 个 “目的 ”邮件 服务 器 的 这 种 能 力 ， 该 服务 器 可 
能 是 或 可 能 不 是 最 终 目 的 地 ， 由 此 处 预期 中 的 接收 者 检索 电子 邮件 。MX 记录 优先 级 
字段 提供 了 对 进入 邮件 服务 器 或 网 关 相 对 优先 级 的 控制 ， 同 时 提供 了 基于 可 用 性 和 性 
能 而 在 多 个 选项 间 选 择 的 能 


因特网 3 N 


SMTP SMPT POP3 BKIMAP 


TCP 建立 
信封 一 -220 smtp.ipamworldwide.com 
— EHLO smtp.ipamww.com 
— 250 ipamww.com 
— MAIL FROM:<mike@ipamww.com> 
—— 250 OK 
— RCPT TO:<tim@ipamworldwide.com> 
— 250 OK 


消息 一 ~ DATA 
—— 354 Start mail input;end with<CR><LF>.<CR><LE> 
—> Subject:SMTP Demonstration 
—> From:mike@ipamww.com 


— To:tim@ipamworldwide.com 
— > This is a test message! 


= 


一 250 OK 


QUIT 
221 BYTES 


图 10-3 简单 SMTP 事务 例 


图 10-4 形象 地 说 明了 使 用 SMTP 的 一 个 两 步 又 电子 邮件 交付 的 场景 。 在 这 个 场 
景 中 ， 我 正在 发 送 如 图 10-3 所 示 的 同一 电子 邮件 。 但 是 ， 在 这 种 情形 中 ， 也 许 预期 
中 的 目的 服务 器 smtp. ipamworldwide. com 正 忙 ， 并 拒绝 一 条 直接 的 连接 。 因 为 通过 一 
条 DNS MX 查询 解析 了 ipamworldwide. com 服务 器 和 一 个 mta- gateway. com 服务 器 ， 所 
以 我 们 的 外 发 邮件 服务 器 将 沧 ; H 第 二 项 选择 mta- gateway. com 发 送 该 电子 邮件 。 

在 接收 来 A 我 的 邮件 服务 器 的 SMTP 传输 过 程 中 ，mta- gateway. com 服务 器 实际 上 
同意 了 代表 我 将 该 邮件 转发 到 最 终 目的 地 。 在 尝试 第 二 条 传输 路 径 之 前 ， 我 的 邮件 服 
45 fit All mta- gateway. com 服务 器 之 间 的 事务 就 完成 了 。SMTP 使 用 一 种 存储 转发 方法 ， 
而 不 是 每 条 消息 的 同步 中 继 。 

除了 SMTP 服务 器 的 区 别 之 外 ， 传 输 的 第 一 条 分 支 看 起 来 非常 类 似 于 图 10-3 中 
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一 -220 smtp.mta-gateway.com 
— EHLO smtp.ipamww.com 
—250mta-gateway.com 
—MAIL FROM:<mike@ipamww.com> 


250 OK Sapte j 
一 RCPT TO:<tim@ipamworldwide.com> 


一 250 OK 


—> DATA 
一 354 Start mail input:end with 

<CR><LF>.<CR><LE> 090) 7 z 
>Subject: SMTP Demonstration —220 smtp. ipamworldwide 
—>From:mike@ipamww.com 一 EHLO smtp.mta-gateway .com 
—>To:tim@ipamworldwide.com — 250 ipamworldwide.com 
>This is a test message! pg ONES ONO on 
— 250 OK —>RCPT TO:<tim@ipamworldwide.com> 
—> QUIT — 250 OK 
— 221 BYTES — DATA 


一 354 Start mail input:end with<CR><LF>.<CR><LE> 

—Received:from smtp.ipamww.com to smtp.mta—gateway.com; 
Wed,16 Sep 2008 09:48:18-0500 

—Subject:SMTP Demonstration 

—>From:mike@ipamww.com 

—>To:tim@ipamworldwide.com 

This is a test message! 


一 -250 OK 
— QUIT 
— 221 BYTES 


图 10-4 电子 邮件 中 继 


p 


的 路 径 。 和 第 一 条 分 支 一 样 ， 除 了 SMTP 端点 的 区 别 外 ， 连 接 的 第 二 条 分 支 也 是 类 似 


Ne a— I 


区 别 是 在 邮件 的 数据 节 的 头 部 内 插入 Received: 行 。 每 台中 间 经 过 的 


SMTP 服务 器 (转发 该 消息 ) 都 在 前 面 加 入 一 个 “Received” 行 ， 指 明 它 的 域名 和 相 
应 的 时 间 戳 。 这 使 从 目的 地 反 向 跟踪 到 邮件 的 路 径 成 为 可 能 。 在 两 个 段 中 RCPT TO 


行 保持 相同 Ze 


在 交付 中 出 现 错误 时 ， 应 该 发 送 到 的 邮箱 。 
封 电 子 邮 件 的 消息 部 分 由 一 个 头 部 和 体 组 成 。 每 个 头 部 字段 由 一 个 英文 字 后 跟 


一 个 冒号 和 一 个 值 组 成 。 头 部 包含 各 种 数据 ， 包 括 如 下 字段 : 

1) 源 发 字段 。From 、sender、 reply-to 、orig-date。 

2) 目的 字段 。to、cc、bec。 

3) 识别 字段 。Message-id 、in-reply-to 、refercences (参见 ) msg-id, id-left, id- 


right, no-fold- quote, 、no-fold-literal 。 
4) 信息 型 字段 。Subject (E), comments (注释 ) keywords (关键 词 ) 。 
5) 重 发 字段 (例如 由 一 项 电子 邮件 服务 将 一 条 消息 重新 引入 ”因特网 有 关 的 信 


èI 


til -> EL 
,型 字段 ) Resent-date, resent-from, resent-sender, resent-to, resent-cc, resent-bce, 


SS 


sy 


重新 引入 不 是 转发 。. 带 有 原始 发 送 者 〈 而 不 是 传输 者 ) 信息 的 一 封 电子 邮件 的 传输 被 认为 是 重新 


上 执行 转发 的 邮箱 作为 发 送 者 。 


引入 。 转 发 使 月 
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resent- msg- id, 

6) 源 跟踪 信息 。Trace、return、path received, name-val-list, name-valpair, item- 
name, item-value, 

我 们 已 经 总 结 了 基本 的 电子 邮件 收发 过 程 和 信息 类 型 ， 这 些 可 被 包括 在 一 条 给 定 
的 电子 邮件 消息 内 ， 原 因 是 在 验证 发 送 者 是 电子 邮件 的 一 名 合法 或 可 接受 的 发 送 者 
时 ， 不 同 的 反 垃 圾 技术 利用 不 同 的 信息 源 。 


10.3.2 白 名 单 或 黑 名 单方 法 


白 名 单 或 黑 名 单 的 使 用 :2 ， 为 接收 者 的 电子 邮件 服务 器 通过 DNS 查找 一 名 发 送 
者 的 卫 地 址 ， 并 验证 其 合法 性 ， 提 供 了 一 种 简单 方法 。 典 型 情况 下 ， 这 种 查找 是 如 
下 形成 的 ， 即 将 电子 邮件 消息 的 源 IP 地 址 反 向 处 理 ， 就 像 形 成 PTR 记录 时 所 做 的 那 
样 。 注 意 正在 被 分 析 的 源 卫 地址 是 电子 邮件 被 直接 接收 处 的 IP 地 址 ， 也 许 是 一 个 电 
子 邮件 网 关 ， 它 可 能 是 或 可 能 不 是 原始 发 送 者 。 但 是 ， 这 种 列 名 单 的 意图 ， 是 依据 
TP 地 址 来 识别 电子 邮件 的 这 种 发 送 者 是 否 为 合法 的 。 

在 这 个 场景 中 ， 在 反 向 的 卫 地 址 后 附加 一 个 给 定 的 域名 ， 典 型 情况 下 是 黑 名 单 
提供 商 的 域名 。 由 此 ， 通 过 串 接 形成 这 个 “主机 域名 ”， 使 用 A 字样 记录 查询 类 型 
(不 是 PTR) ， 在 DNS 中 查询 。 基 于 是 否 找到 该 记录 (在 这 种 情形 下 经 常 返 回 128/8 
地 址 块 内 的 一 个 他 地址 ) 和 列表 是 否 发 布 已 知 的 垃圾 发 送 者 〈 黑 名 单 或 阻塞 名 单 ) 
或 已 知 的 非 垃圾 发 送 者 (ABA), ， 对 查询 答案 进行 解释 。 

例如 ， 在 接收 到 带 有 源 卫 地 址 为 192. 0. 2. 95 的 一 封 电子 邮件 消息 时 ， 我 的 电子 
邮件 服务 器 形成 对 主机 名 95. 2. 0. 192. spamblacklist. org 的 一 条 A 记录 查询 ， 其 中 假定 
我 所 选中 的 黑 名 单 提供 商 在 spamblacklist. org 域内 发 布 查 找 。 在 接收 到 带 有 答案 (IP 
地 址 ) 127.0.0.5 的 一 条 应 答 时 ,我 的 电子 邮件 服务 器 将 该 电子 邮件 分 类 为 垃圾 邮 
件 ， 并 拒绝 接收 该 邮件 。 另 一 方面 ， 如 果 对 查询 返回 NXDOMAIN， 则 可 允许 接收 该 
电子 邮件 。 一 项 白 名 单列 表 服务 ， 它 发 布 已 知 的 、 名 副 其 实 的 电子 邮件 服务 器 地 址 ， 
将 基于 DNS 查找 ， 得 到 相反 的 解释 。 


10.3.3 发 送 者 策略 框架 


发 送 者 策略 框架 (SPF) 目前 由 RFC 4408 定义 ， 该 RFC 处 于 试验 状态 。SPF 
使 一 个 组 织 机 构 发 布 其 自己 授权 的 外 发 电子 邮件 地 址 的 列表 、 一 个 自发 布 的 白 名 单 ， 
虽然 本 质 上 来 说 要 更 加 复杂 。 在 SPF 下， 所 接收 到 的 电子 邮件 消息 的 信封 信息 ， 是 要 
检查 的 ， 来 自 接收 者 的 一 条 SPF DNS 查询 的 形成 ， 要 依据 发 送 者 、 发 送 者 的 域 以 及 
源 IP 地 址 。 在 接收 到 一 条 电子 邮件 消息 时 ， 接 收 者 电子 邮件 服务 器 将 发 起 一 条 查询 ， 
查询 源 域名 的 一 条 SPF 资源 记录 。SPF 记录 是 作为 “机 制 ” 的 一 个 字符 串 编码 的 ， 这 
些 机 制 被 用 来 处 理 源 IP 地 址 (电子 邮件 是 从 该 地 址 发 出 的 )、MAIL FROM 或 HELO 
身份 的 域 部 分 以 及 从 MAIL FROM 或 HELO 身份 得 到 的 发 送 者 。 

(1) SPF 一 一 发 送 者 策略 框架 记录 。 发 送 者 策略 框架 ， 尝试 提供 如 下 方面 的 验 
证 ， 即 配置 哪些 主机 为 一 个 给 定 的 域 发 送 电子 邮件 的 验证 。 即 SPF 寻求 从 伪造 域 中 去 
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除 垃 圾 电子 邮件 。 一 台 接收 者 电子 邮件 主机 可 查找 发 送 者 域 的 SPF 记录 ， 用 来 验证 发 
送 电 子 邮 件 的 主机 是 否 匹 配 发 送 者 所 授权 的 那些 主机 。SPF 版 本 1 (也 称 作 SPF 经 典 
版 ) 是 在 RFC 4408 中 描述 记录 的 ， 它 利用 了 SPF 资源 记录 。 域 管理 员 可 以 配置 电子 
邮件 主机 DNS， 这 些 主机 映射 到 每 台 主 机 的 mailfrom 和 SMTP HELO 身份 。SenderID 
是 一 项 相关 的 垃圾 邮件 检测 技术 ， 它 也 使 用 了 SPF 资源 记录 类 型 ， 但 它 分 析 来 自 一 封 
进入 电子 邮件 消息 的 不 同 信息 。 稍 后 我 们 将 讲解 SenderID。 

注意 ， 由 于 在 IETF 发 布 RFC 4408 之 前 ，SPF 的 各 种 实现 都 使 用 TXT 记录 ， 所 以 
出 于 后 向 兼容 目的 ， 多 数 实 现 将 同时 使 用 SPF 和 TXT 记录 ， 但 如 果 返 回 了 TXT 和 
SPF 记录 ， 则 一 个 SPF 兼容 的 解析 器 将 丢弃 TXT 记录 。SPF 记录 的 格式 与 TXT 记录 的 
格式 是 等 价 的 。 但 是 ，SPF 应 用 了 一 种 特定 的 语法 ， 而 不 是 任意 的 文本 。 该 语法 包括 
一 个 版 本 字符 串 (对 于 SPF ,v= spfl ;对 于 接 下 来 要 讲解 的 SenderID v = spf2.0) ， 
后 跟 一 个 空格 ,接着 是 一 项 或 多 项 ， 它 们 定义 了 有 关 资 源 记录 类 型 或 IP 网络 地 址 、 
修饰 符 甚至 宏 的 标识 符 (qualifier) 。 


属 主 TTL 类 类 型 RData 

bi TTL IN SPF 版 本 Ait (directives) 和 /或 修饰 符 
smtp. ipamww. com. 86400 IN SPF v=spfl + ip4;192. 0. 2.32/30 -所 有 的 
smtp. ipamww. com. 86400 IN SPF spf2. 0 pra + ip4;192. 0. 2.32/30 -所 有 的 


(2) 各 种 机 制 。 各 种 机 制 支持 在 SPF (或 TXT) 记录 内 部 指定 匹配 准则 ， 一 台 
接收 电子 邮件 服务 器 可 查询 该 记录 ， 以 便 验 证 一 个 给 定 电子 邮件 消息 的 发 送 者 。 在 指 
定 SPF 版 本 (当前 版 本 为 1， 即 “v = spfl”) 之 后 , Æ SPF 记录 的 RData 字段 内 定义 
各 种 机 制 ， 是 按照 从 左 到 右 的 顺序 对 各 种 机 制 进行 评估 的 。 如 果 基 于 对 机 制 的 评估 , 
一 种 机 制 得 以 通过 ， 则 就 通过 了 验证 ; 否则， 直到 找到 一 种 机 制 时 通过 或 失败 ， 或 没 
有 定义 其 他 机 制 的 情况 出 现 之 前 ， 就 都 要 测试 下 一 个 机 制 。 

每 种 机 制 都 是 以 一 个 标识 符 定 义 的 ， 这 是 指令 邮件 或 垃圾 过 滤器 服务 器 如 何 接收 
一 个 给 定 “ 匹 配 ” 的 一 个 前 级 。 

1) + = 通过 (默认 的 ) 。 如 果 这 种 机 制 得 以 匹配 ， 就 认为 这 种 机 制 通过 了 。 

2) - = 失败 。 如 果 这 种 机 制 得 以 匹配 ， 则 认为 这 种 机 制 是 一 次 失败 。 

3) ~ = 软 失 败 。 如 果 这 种 机 制 得 以 匹配 ， 就 认为 这 种 机 制 处 于 中 性 和 失败 之 间 
的 某 个 位 置 ， 如 果 这 种 机 制 得 以 匹配 ， 则 这 种 解释 将 不 会 使 这 项 检查 就 失败 了 ， 而 是 
保留 它 以 便 进行 密切 的 检查 。 

4)? = 中 性 的 ,如 果 这 种 机 制 得 以 匹配 ， 就 认为 这 种 机 制 是 中 性 的 。 

可 与 如 下 基于 资源 记录 检查 的 机 制 一 起 ， 来 使 用 标识 符 ， 以 便 定义 一 种 给 定 机 种 
的 解释 ， 如 下 各 例 所 示 。 

1) a= 查找 源 域 (来 自 MAIL FROM 或 HELO 身份 ) 的 A 记录 ; 如 果 它 匹配 消息 
的 源 TP 地 址 ， 则 这 种 机 制 就 匹配 了 。 这 可 将 范围 限制 在 一 个 特定 域 和 /或 在 地 址 中 要 
比较 的 CIDR 比特 数 ， 如 下 各 例 所 示 。 

@ +a= 通 过 ， 如 果 源 域 的 A 记录 查询 匹配 源 PP 地 址 。 


= 
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@ -a: ipamworldwide. com = 失败 ， 如 果 ipamworldwide. com 的 一 条 A 记录 查询 匹 
配 源 IP 地 址 。 

@) ~ a/24 软 失 败 ， 如 果 通 过 源 域 的 A 记录 查询 ， 所 检索 的 IP 地 址 的 前 24bit， 
匹配 源 IP 地 址 的 前 24bit。 

2) mx = 查找 源 域 (KÄ MAIL FROM 或 HELO 身份 ) 的 MX 记录 ; 对 于 每 个 要 
解析 的 MX 查找 ， 查 找 相应 的 A 记录 ; 如 果 它 匹配 消息 的 源 IP 地 址 ， 则 这 种 机 制 就 
得 以 通过 。 和 a 机 制 一 样 ，mx 机 制 可 将 范围 限制 在 一 个 特定 域 和 /或 在 地 址 中 要 比较 
的 CIDR 比特 数 ， 如 下 各 例 所 示 。 

D +m: ipamworldwide. com/28 = 通过 ， 如 果 返 回 与 一 条 MX 记录 查找 相关 联 的 
一 个 A 记 录 ， 其 中 前 28bit 匹配 该 消息 的 源 IP 地 址 的 前 28bit。 

3) ptr = 查找 对 应 于 电子 邮件 消息 的 源 IP 地 址 的 PTR 记录 (可 多 达 10 条 ); 之 
后 与 PTR 查找 中 返回 的 每 个 域名 进行 比较 。 

CD) 检查 所 返回 的 域名 匹配 电子 邮件 消息 的 源 域 。 

© 检查 相应 A 或 AAAA 记录 所 返回 的 一 个 IP 地址 ， 要 匹配 源 IP 地 址 。 

如 果 上 述 两 个 条 件 成 立 ， 则 这 种 机 制 得 以 通过 。 这 种 机 制 可 进一步 受到 一 个 域名 
的 限制 ， 该 域名 可 被 用 来 过 滤 多 个 返回 的 PTR 查找 的 域名 ， 如 下 各 例 所 示 。 

@ -ptr: 失败 ， 如 果 在 源 IP 地 址 的 PTR 查找 过 程 中 所 返回 的 一 个 域名 ， 匹 配 源 
域 ， 以 及 如 果 在 PTR 查找 过 程 中 所 返回 域名 对 应 的 A/AAAA 域名 ， 匹 配 电 子 邮 件 的 
源 耳 地址 。 

2) +ptr: ipamworldwide. com; 通过 ， 如 果 在 源 IP 地 址 的 PTR 查找 过 程 中 所 返回 
的 一 个 域名 ， 匹 配 源 域 ， 同 时 落 在 ipamworldwide. com 域内 ， 以 及 如 果 在 PTR 查找 过 
程 中 所 返回 域名 对 应 的 A/AAAA 域名 ， 匹 配 电子 邮件 的 源 IP 地 址 。 

4) ip4 = 验证 源 IP 地 址 匹配 所 指定 的 IPv4 地 址 ; 这 种 机 制 可 由 CIDR 长 度 标 出 ， 
如 下 例 所 示 。 

QD ? ip4: 192.0.2.32/30。 中 性 的 ， 如 果 消 息 的 源 IP 地址 落 在 192. 0.2.32 ~ 
192. 0. 2. 35 内 。 

5) ip6 = 验证 源 他 地 址 匹配 所 指定 的 IPv6 地 址 ; CPP ML AY h ARAKERE, 
如 下 例 所 示 。 

®© +ip6: 2001; db8: f02b: 2a:: /64。 通 过 ， 如 果 消 息 的 源 卫 地 址 落 在 2001: 
DB8: FO2B; 2A:: /64 网 络 内 。 

6) exists: domain_ name = 查找 对 应 于 domain name AY A 记录 (不 是 AAAA 记 
a); 如 果 提 供 任意 答案 (IP 地 址 ) ， 则 这 种 机 制 就 得 以 匹配 (这 种 机 制 必须 以 要 匹 
配 的 一 个 域名 进行 范围 限制 ) ， 如 下 例 所 示 。 

CD exists: ipamworldwide. com; 匹配 ， 如 果 ipamworldwide. com 域 的 一 条 A 记录 查 
找 返回 一 个 IP 地 址 的 话 。 

7) include; domain name = 为 了 利用 其 SPF 策略 (例如 ， 利 用 来 自 多 个 ISP 之 
一 个 域 或 来 自 其 他 域 (你 是 从 这 里 发 送 电子 邮件 的 ) 的 策略 ) ， 递 归 地 评估 domain_ 


name, 
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8) all = 匹配 任何 东西 ; 如 果 前 面 没有 机 制 匹配 就 会 失败 的 话 ， 则 -all 通常 用 作 
最 后 参数 。 

(3) 修饰 符 。 为 了 提高 附加 信息 ， 则 可 在 SPF 记录 内 指定 修饰 符 。 修 饰 符 是 名 
字 - 值 对 ， 已 经 定义 了 其 中 两 个 。 

1) redirect = domain name; 使 SPF 记录 的 “别名 法 ”将 一 个 常见 的 SPF 处理 记 
录 (比如 ) 施用 到 多 个 域 。 这 为 正在 发 生 的 变更 管理 提供 了 方便 : 在 一 条 记录 中 改 
变 处 理 ， 最 小 化 出 现 错误 的 机 会 ， 就 最 大 化 了 一 致 性 。 在 下 例 中 ， 对 ipamworld- 
wide. com JAY MX 记录 检查 也 将 施用 到 hq 和 euro FE, 


hq. ipamww. com. IN SPF “v =spfl redirect = spf. ipamworldwide. com” 


euro. ipamww. com. IN SPF “v =spfl redirect = _ spf. ipamworldwide. com” 


_ spf. ipamworldwide. com. IN SPF “v =spfl +mx: ipamworldwide. com - all” 

重 定 向 可 如 上 例 一 样 显 式 使 用 ， 或 作为 “最 后 一 道 防 线 ”， 例 如 ， 列 为 最 后 侧 的 
机 制 。 

2) exp=domain_ name; 解释 ， 它 定义 这 样 的 域 ， 当 一 种 机 制 匹 配 失败 时 ， 必 须 
为 其 完成 一 条 TXT 记录 查找 ， 以 便 将 字符 串 表 示 为 结果 。 

(4) 宏 。 从 技术 角度 来 看 ， 上 述 机 制 中 的 任何 一 种 机 制 和 修饰 符 的 domain _ 
name 都 不 需要 一 个 显 式 定义 的 〈 硬 编码 的 ) 域 , 但 可 使 用 宏 定 义 一 个 域 ， 以 便 基于 
正 被 评估 的 消息 信封 形成 一 个 域名 。 即 使 正 由 处 理 一 个 exp 修饰 符 得 到 的 TXT 记录 ， 
也 可 用 于 宕 。 使 用 百 分 号 (% ) 识别 宏 。 如 下 宏 已 被 定义 。 

1) % |s} = 发 送 者 的 电子 邮件 地 址 。 

2) % |1) = 发 送 者 的 电子 邮件 地 址 的 本 地 部 分 。 

3) % |o} = 发 送 者 的 电子 邮件 地 址 的 域 。 

4) @\d} = 当前 域 , 通常 与 发 送 者 的 域 相同 ,但 也 可 能 通过 include 机 制 ( 例 
如 ) 已 被 处 理 。 

5) % lil = 消息 发 送 者 的 源 耻 地 址 。 

6) % lp} = 通过 对 消息 发 送 者 的 源 IP 地 址 的 PTR 查找 ， 经 过 验证 的 域名 。 

7) Mi iv} = 文字 字符 串 ， 如 果 源 IP 地 址 是 一 个 IPv4 地 址 ， 为 “in-addr”， 如 果 
源 IP 地 址 是 IPv6， 则 是 “ip6”。 

8) % {hi =HELO/EHLO 身份 的 域 部 分 。 

9) %% = 就 是 % ( 百 分 号 )。 

10) %_ = 空格 “”。 

11) %- = 一 个 URL 编码 的 空格 ,例如 “%20”。 

如 下 宏 可 用 于 TXT 记录 ， 可 由 一 个 exp 机 制 索引 使 用 , 但 也 可 能 没有 其 他 地 
方 使 用 。 

1) % |c} =SMTP 客户 端 IP 地 址 。 

2) % |r} = 实施 SPF 检查 的 主机 的 域名 。 

3) % {t} = SHUNT TARY, 
宏 变 换 器 可 利用 一 个 宏 的 结果 的 一 个 子 集 (例如 ， 通 过 确定 域名 标签 的 一 个 整 
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型 量 ) 或 一 个 宏 结 果 的 反 向 结果 (例如 将 一 个 卫 地 址 反 向 ) 。 反 向 做 法 即将 一 个 rz 加 
入 到 宏 的 大 括号 (| | ) 之 中 。 

(5) 宏 的 范例 。 考 虑 图 10-3 的 例子 ， 其 中 迈克 (mike@ ipamww. com) 向 我 的 
tim@ ipamworldwide. com (在 IP 地址 为 192. 0. 2.32 的 SMTP 主机 上 ) 发 送 一 封 电 子 邮 
件 。 使 用 来 自 该 图 的 这 个 信息 和 其 他 信息 ,我 们 可 将 这 个 电子 邮件 传输 的 宏 值 定 
义 为 。 


7) % \id1} =com, 
i} =192.0. 2. 32, 
9) % tir} =32.2.0. 192, 
10) % |v} =in-addr, 
11) % |h} =ipamww. com, 
12) % {irl.% {v} ._ spf. % {d} =32.2.0. 192. in-addr. _ spf. ipamww. com, 
SPF 为 您 的 组 织 机 构 以 不 同 粒度 表示 电子 邮件 策略 ， 提 供 了 一 种 强大 的 宏 语言 。 
旦 是 ， 它 是 一 个 试验 性 的 协议 ， 可 以 将 它 看 做 Sender ID 的 一 个 近亲 和 党 兄弟 。 


10.3.4 发 送 者 ID 


识别 可 能 是 垃圾 电子 邮件 的 另 一 种 试验 性 机 制 ， 被 称 作 发 送 者 ID (Sender ID) 。 
发 送 者 ID 机 制 寻求 来 自给 定 源 IP 地 址 处 一 个 给 定 SMTP 的 一 封 给 定 电子 邮件 ， 是 否 
是 得 到 授权 发 送 该 电子 邮件 的 。 像 SPF 一 样 ， 发 送 者 ID 可 依据 MAIL FROM 字段 ， 检 
验 电子 邮件 消息 的 发 送 者 、 发 送 者 域 和 源 IP 地 址 。 与 SPF 不 同 的 是 ， 发 送 者 ID 依据 
消息 首部 信息 ， 也 验证 〈 或 以 替代 方式 ) 发 送 者 和 发 送 者 域 。 发 送 者 ID 与 SPF 相似 
的 是 ， 它 利用 了 SPF 资源 记录 类 型 ， 如 前 一 节 所 定义 的 情形 ， 但 作 了 一 些 修改 。 

1) 版 本 字符 串 〈“v = spf1”) 替换 为 “spf2. 0”, 

2) 发 送 者 ID 包括 记录 的 一 个 范围 “mfrom” 和 在 SPF 一样， 指明 mailfrom 实 
体 ， 并 /或 “pra” 表 明 “ 所 指 的 负责 地 址 ”( 下 面 讨 论 ) 。 

3) 从 SPF 定义 中 扩展 得 到 修饰 符 ， 这 支持 位 置 上 下 文 ， 作 为 SPF 定义 的 全 局 上 
下 文 的 一 种 替代 上 下 文 。 即 ， 一 个 修饰 符 可 影响 前 面 的 机 制 ， 这 不 像 SPF， 在 SPF 中 
一 个 修饰 符 总 是 可 全 局 施用 的 。 

范围 字段 被 用 来 推 知 发 送 者 和 发 送 者 域 ， 以 便 进 行 验证 ( 即 MAIL FROM 实体 和 
/或 PRA) 。 所 指 的 负责 地 址 PRA， 是 与 最 接近 于 接收 者 电子 邮件 系统 的 发 送 者 身份 
有 关 的 范围 。PRA 算法 检查 消息 首部 〈 而 不 是 信封 ) ， 并 查找 一 个 发 送 者 地 址 ， 方 法 
是 按 顺序 检查 如 下 首部 ， 取 所 发 现 的 第 一 个 地 址 。 


1) % |s} =mike@ ipamww. com, 
2) % |1} = mike。 
3) % |o} =ipamww. com, 
4) % |d} =ipamww. com, 
5) % | d3} =ipamww. com, 
6) % |d2} =ipamww. com, 
| 
| 
| 


== 
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1) Resent-Sender ( 重 发 - 发送 者 ) 首部 。 

2) Resent-From ( 重 发 -来 源 ) 首部 。 

3) Sender (发 送 者 ) 首部 。 

4) From (来 源 ) 首部 。 

在 这 些 首部 之 中 发 现 的 单一 有 效 发 送 者 邮箱 地 址 ( 即 mailbox@ maildomain 的 形 
式 ) 是 PRA。 在 如 图 10-3 和 10-4 所 示 的 简单 情形 中 ， 所 指 的 负责 地 址 将 是 mike @ 
ipamww. com， 是 从 “From” 首 部 值 中 推算 得 到 的 。 一 个 第 三 方 被 用 来 代表 一 个 合 
的 发 送 者 来 传输 电子 邮件 ， 在 这 种 情形 中 ， 将 使 用 “Resent-From” 或 其 他 首部 值 。 
使 用 术语 “所 指 的 "， 原 因 是 该 算法 依赖 于 消息 首部 中 提供 的 信息 ， 而 消息 首部 是 由 
发 送 者 提供 的 。 
围绕 发 送 者 ID 和 SPF 的 使 用 ， 存 在 些微 争论 ， 这 就 是 这 两 种 技术 都 注定 为 试验 
性 的 方法 的 原因 。 例 如 ， 发 送 者 ID 对 “v=spfl”(SPF) 记录 的 处 理 可 得 到 注定 为 垃 
圾 邮件 的 有 效 消息 。 我 们 希望 ， 在 未 来 可 得 到 一 种 一 致 的 统一 方法 。 


10.3.5 域名 密 钥 可 识别 的 邮件 


域名 密 钥 可 识别 的 邮件 (DKIM) 指定 了 为 电子 邮件 发 送 者 以 密码 学 方式 对 一 封 
电子 邮件 消息 进行 签名 的 一 种 方法 ， 以 便 使 接收 者 通过 发 送 者 的 域 密 钥 的 检索 和 应 
用 ， 在 接收 到 邮件 消息 时 可 对 它 进 行 验证 。DKIM 利用 数字 签名 〈 使 一 个 给 定 的 数据 
集合 (在 这 种 情形 中 是 一 条 电子 邮件 消息 ) 能 够 对 数据 签名 ， 从 而 使 那些 接收 到 的 
数据 和 签名 ， 使 用 一 个 对 应 的 公开 密 钥 ， 可 对 签名 实施 解密 ) ， 可 实施 数据 源 发 地 和 
完整 性 验证 。DKIM 采用 一 种 非 对 称 密 钥 对 (私有 密 钥 / 公 开 密 钥 ) 模型 。 在 这 样 一 
种 模型 中 ， 电 子 邮 件 消息 和 选中 的 首部 字段 采用 一 个 私有 密 钥 进行 加 密 ， 并 可 使 用 对 
应 的 公开 密 钥 对 数据 解密 ， 来 实施 验证 。 私 有 密 钥 和 公开 密 钥 形 成 一 个 密 钥 对 。 数 学 
方面 的 细节 是 非常 复杂 的 ， 但 从 概念 上 来 说 ， 私 有 /公开 密 钥 对 ， 为 公开 密 钥 的 持 有 
者 提供 了 验证 数据 是 使 用 对 应 私有 密 钥 签名 的 一 种 方法 。 这 就 提供 了 所 验证 数据 确实 
是 由 私有 密 钥 的 持 有 者 签名 的 认证 过 程 。 数 字 签 名 也 支持 所 接收 数据 匹配 发 布 的 数据 
且 在 中 转 过 程 中 没有 被 算 改 的 验证 。 

参见 图 10-5 ， 数 据 源 发 者 ， 如 图 左 侧 所 示 ， 产 生 一 个 私有 密 钥 /公开 密 钥 对 ， 并 
利用 私有 密 钥 对 数据 签名 。 对 数据 签名 的 第 一 步 是 产生 该 数据 的 一 个 散 列 值 ， 有 时 也 
称 其 为 一 个 摘要 。 散 列 函 数 是 单 向 函数 ? ， 为 了 更 简单 的 操作 ， 将 数据 加 扰 为 一 个 固 
定 长 度 的 字符 串 ， 并 代表 数据 的 一 个 “指纹 "。 这 意味 着 极 不 可 能 会 出 现 男 一 个 数据 
输入 可 得 到 相同 散 列 值 的 情况 。 因 此 ， 经 常 将 散 列 值 用 作 校 验 和 ， 但 并 不 提供 任何 源 
发 认证 能 力 (知道 散 列 算法 的 任何 人 均 可 简单 地 对 任意 数据 进行 散 列 
运算 )。 常 见 的 散 列 算法 包括 HMAC-MD5、RSA-SHA-A 和 RSA-SHA-256。DKIM 不 
仅 默 认 情 况 下 使 用 RSA-SHA-256， 而 且 支 持 RSA-SHA-1。 使 用 私有 密 钥 对 散 列 值 进 


”一 个 单 向 函数 指 从 散 列 值 是 不 能 唯一 地 推算 得 到 原始 数据 的 。 人 们 可 使 用 一 个 算法 得 到 散 列 值 ， 
但 不 存在 这 样 的 反 向 算法 ， 可 对 散 列 值 实施 运算 得 到 原始 数据 。 
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行 加 密 ， 以 便 得 到 签名 。 加 密 算法 的 输入 是 散 列 值 和 私有 密 钥 ， 可 产生 签名 。 


实施 签名 meee 传输 验证 
HRID N 本 WA ae =a 
数据 散 列 函数 | 号 
私有 密 钥 cdo 名 -EEE ， HH( 数 据 ) 
签名 eee = Benen 


图 10-5 数字 签名 产生 和 验证 的 过 程 


消息 及 其 关联 的 签名 被 传输 到 接收 者 。 定 义 了 一 个 新 的 电子 邮件 首部 字段 dkim- 
signature ， 用 来 存储 DKM 签名 ， 还 有 检索 公开 密 钥 的 信息 也 存储 在 该 字段 内 。 依 据 
前 边 我 们 对 SMTP 工作 原理 的 回顾 ， 您 可 能 会 想 ， 信 封 数据 的 修改 和 首部 的 插入 会 如 
何 影响 签名 。DKIM 提供 了 规范 化 的 一 种 “简单 的 ”或 严格 的 形式 和 一 种 “宽松 的 ” 
形式 。 简 单 形 式 几 乎 不 能 容忍 修改 ， 而 宽松 形式 可 允许 空格 蔡 换 和 首部 行 回 绕 ， 而 不 
影响 签名 的 有 效 性 。 

(1) DKIM 签名 电子 邮件 首部 字段 。 接 收 者 必须 从 dkim-signature 首部 字段 中 抽 
取 签 名 。dkim-signature 字段 也 包含 如 下 信息 。 

1) DKM 版 本 (例如 v=1)。 

2) 用 来 产生 签名 的 算法 (例如 a=rsa-sha256)。 

3) 签名 (例如 b = dqdVxOfAK9... )。 

4) 规范 化 消息 体 的 散 列 值 (bh =7Dkw0eE35Jlkjexempol. .. ) 。 

5) 规范 化 方法 (c =relaxed (宽松 的 ) ) 。 

6) 签名 的 域 标识 符 一 一 签名 实体 的 域 (例如 d = ipamworldwide. com) 。 

7) 用 户 或 代表 用 户 的 代理 ， 对 消息 实施 签名 (i = rooney@ ipamworldwide. com) 。 

8) 在 域内 的 选择 需 或 密 钥 索引 (允许 每 个 域 可 有 多 个 密 钥 ,这 在 密 钥 轮换 和 更 
细 粒 度 的 签名 中 有 所 帮助 ) (例如 s = europe)。 

9) 被 签名 首部 字段 的 枚 举 (例如 h =from: to; subject; date), 

10) 其 他 可 选 的 信息 ， 包 括 用 于 检索 公开 密 钥 的 查询 方法 。 默 认 (当前 唯一 的 ) 
查询 方法 q = dns/txt， 指 令 接 收 者 实施 查询 类 型 “txt” 的 一 条 DNS 查询 ， 检 索 对 应 于 
用 来 签名 消息 的 私有 密 钥 的 公开 密 钥 。 令 人 关注 的 男 一 个 可 选 字段 1= tag (标签 ) 提 
供 了 用 户 的 身份 或 代表 用 户 签名 消息 的 代理 的 身份 。 

(2) DKIM TXT 记录 。 使 用 查询 方法 q = dns/txt， 接 收 者 在 签名 域内 实施 一 条 
TXT 记录 的 一 次 DNS 查询 。 查 询 的 问题 节 是 这 样 形成 的 ， 将 选择 需 值 (s= 值 ) 、 字 
符 串 “_ domainkey” 和 指定 的 签名 域 (d = 值 ) 串 接 。 使 用 例子 中 一 封 进入 的 电子 
邮件 dkim- signature 字段 中 所 指定 的 s = europe 和 d = ipamworldwide. com， 将 发 出 查找 
europe. _ domainkey. ipamworldwide. com 的 一 条 TXT 查询 。 对 应 TXT 记录 的 RData 部 分 
包括 类 似 于 dkim-signature 字段 的 一 个 或 多 个 标签 。 

1) DKIM 版 本 (v= DKIM1)。 
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2) 密 钥 的 粒度 ， 如 果 是 指定 的 ， 则 必须 匹配 dkim-signature 首部 (g= * ) 中 用 
户 或 代理 (G=) 标志 的 本 地 部 分 。 

3) 所 接受 的 散 列 算法 (可 能 是 多 个 算法 ) (例如 h = sha256) 。 

4) 密 钥 类 型 (k =rsa) 。 

5) 为 人 们 所 消费 (方便 人 们 阅读 ) 使 用 的 注释 (n = updated_ key), 

6) 公开 密 钥 (p= Dkjeijf8d98Kz... ) 。 

7) 服务 类 型 (s = email) 。 

8) 标志 ， 指 明 诸 如 dkim- signature 首部 中 i = 标签 间 的 符合 性 规则 、d = 域 标签 
(在 TXT 记录 中 编码 为 t=s) 以 及 这 个 域 是 否 正 在 测试 DKIM (t=y)。 
唯一 必 备 的 标签 是 p 标签 ， 即 公开 密 钥 。 一 个 范例 TXT 记录 后 根 

europe. _ domainkey. ipamworldwide. com IN TXT 

(“v =DKIM1; p = Dkjeijf98Kz...”) 

在 检索 公开 密 钥 时 ， 接 收 者 和 源 发 信者 一 样 ， 要 计算 所 接收 消息 体 的 一 个 散 列 
值 ， 并 对 首部 各 字段 签名 。 接 收 者 使 用 源 发 者 的 公开 密 钥 ， 对 所 接收 到 的 签名 使 用 散 
列 算 法 。 这 种 解密 的 输出 是 源 发 数据 散 列 值 ， 将 其 与 接收 者 对 数据 所 计算 得 到 的 散 列 
值 进行 比较 。 如 果 这 两 者 匹配 ， 则 数据 没有 被 修改 ， 是 私有 密 钥 持 有 者 对 该 数据 签 
的 名 。 

如 果 进 入 电子 邮件 消息 包含 一 个 dkim-signature 首部 字段 ， 则 显然 的 是 ， 发 送 者 
正在 使 用 DKIM， 并 对 该 消息 签 过 名 。 但 如 果 一 封 进 入 的 电子 邮件 消息 没有 包含 一 
dkim-signature 首部 字段 ， 这 意味 着 发 送 者 没有 对 消息 签名 吗 ? 这 事实 上 可 能 为 一 名 
垃圾 邮件 (SPAM) 攻击 者 从 一 个 伪造 的 源 域 发 起 未 签名 电子 邮件 消息 打开 了 一 个 缺 
口 。DKIM 依赖 于 作者 域 签名 实践 (ADSP) 的 发 布 ， 该 ADSP 使 一 台 接 收 者 电子 邮件 
服务 央 能 够 确定 是 否 应 该 依据 策略 对 来 自 一 个 给 定 域 的 消息 进行 签名 ， 且 如 果 要 签名 
的 话 ， 由 谁 签名 以 及 带 有 哪些 签名 〈 可 能 有 多 个 签名 ) 。 

一 个 接收 者 确定 发 送 域 的 签名 实践 ， 方 法 是 发 出 查找 Qtype = TXT 和 Qname = _ 
adsp. _ domainkey. signing- domain-identifier 的 一 条 查询 ， 其 中 signing- domain-identifie 
同样 是 d= 值 。 对 应 的 TXT 记录 指明 ,来 自 这 个 域 的 电子 邮件 是 总 是 被 签名 的 、 可 能 
被 签名 的 ， 总 被 签名 的 和 任何 未 签名 的 电子 邮件 应 该 被 丢弃 。 谷 了解 更 多 细节 ， 请 参 
JL RFC 5617"! 。 


10.3.6 历史 上 出 现 过 的 电子 邮件 资源 记录 类 型 


在 DNS 的 早期 日 子 里 ， 定 义 过 这 些 资源 记录 类 型 ， 目 前 不 再 使 用 。 我 们 将 它们 
列 在 这 里 ， a 


AAA 子 邮 件 转换 为 一 个 个 体 
(或 多 个 人 ， eres 记录 ) 的 一 个 别名 或 列表 。 从 最 简单 的 含义 来 说 ， 它 提 
供 了 一 个 邮箱 名 的 一 个 别名 。 
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属 主 TTL 类 类 型 RData 
电子 邮箱 别名 TTL IN MR 电子 邮箱 名 

cfo 86400 IN MR finance( 财务 ) 

(2) MB 一 一 邮箱 记录 。MB 记录 是 在 RFC 1035 中 定义 的 ， 并 支持 将 一 个 用 户 ID 

与 包含 该 用 户 电 子 邮 箱 的 期 望 主 机 关联 。 

属 主 TTL 类 类 型 RData 

电子 邮件 ID TTL IN MB 邮箱 主机 名 
joe 86400 IN MB smtp. ipamworldwide. com 


(3) MG 一 一 邮件 组 


件 用 户 与 一 个 用 户 组 关联 。 


[成 员 记 录 。RFC 1035 定义 了 MG 资源 记录 ， 它 支持 将 电子 邮 


属 主 TTL 类 类 型 RData 
电子 邮件 组 名 TTL IN MG 电子 邮件 ID 
finance( 财务 ) 86400 IN MG joe 


(4) MINFO 一 一 邮箱 /邮件 列表 信息 。MINFO 记录 也 定义 在 REC 1035 中 ， 意 图 


是 提供 邮箱 和 邮件 列表 信息 。 它 提供 两 个 电子 邮箱 地 址 ， 一 个 用 于 请 求 加 入 邮件 列 
表 ， 另 一 个 用 于 报告 错误 。 
属 主 TTL 类 类 型 RData 
邮箱 名 TTL IN MINFO 请 求 邮箱 ”错误 邮箱 
newsalerts 86400 IN MINFO hostmaster majordomo 


10.4 安全 应 用 


10.4.1 保障 名 字 解 析 的 安全 一 一 DNSSEC 资源 记录 类 型 
展 (DNSSEC) 话题 ， 所 以 在 本 章 内 出 于 完备 


性 考虑 ， 将 简单 汇总 一 下 DNSSEC 必 备 的 资源 记录 类 


第 13 章 专 门 用 来 讨论 DNS 安全 扩 


SEC 的 全 部 上 下 文 和 描述 。 
(1) DNSKEY——DNS 密 钥 记录 。DNSKEY 资源 记录 用 于 DNSSEC， 用 来 发 布 在 


区 域 信息 上 验证 签名 所 用 的 公开 密 钥 。 服 务 器 使 用 一 个 私有 密 铀 ， 


在 一 个 


型 。 在 第 13 章 我 们 将 提供 DNS- 


区 域内 签名 


它 的 权威 资源 记录 集合 ， 对 应 的 公开 密 钥 则 以 DNSKEY 记录 形式 在 区 域 文件 中 发 布 。 
发 布 两 种 类 型 的 密 钥 : 一 个 区 域 签名 密 钥 (ZSK) ( 它 签名 资源 记录 数据 ) 和 一 个 密 
钥 签名 密 钥 (KSK) (对 ZSK 签名 ) 。 解 析 器 可 使 用 这 个 公开 密 钥 来 验证 一 个 给 定 的 
RRSet 的 签名 。 
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属 主 TIL 类 类 型 RData 
密 钥 名 TTL IN DNSKEY 标志 协议 FR ” 密 钥 
ipamww. com. 86400 IN DNSKEY 256 3 5 Awek8F(le-:- 


在 这 个 例子 中 ，RData 字段 解释 如 下 。 

1) 标志 字段 提供 有 关 密 钥 的 类 型 和 状态 。 当 前 为 标志 字段 定义 的 值 如 下 。 

D bit7。 这 个 密 钥 是 一 个 区 域 签 名 密 钥 (十进制 =256)。 

Q bit8。 撤 销 这 个 密 钥 。 

@) bit15。 这 个 密 钥 是 一 个 密 钥 签 名 密 钥 (十进制 =1)。 

@ 其 他 bit。 未 指派 。 

2) 该 协议 字段 必须 有 值 “3”， 指 明 是 DNSSEC (这 是 当前 定义 的 唯一 一 个 值 ) 。 
3) 在 上 例 中 算法 字段 有 一 个 值 “5”， 指 明 RSA-SHA-1 算法 。 当 前 支持 的 算法 


编码 如 下 。 


7 


录 


Q 值 =1。RSAZMD5， 依 据 RFC 4034 ， 不 建议 使 用 。 

@ {H =2. Diffie-Hellman, 

@) {fi =3, DSA°/SHA-1, 

® 值 =4。 为 椭圆 曲线 保留 。 

© {H =5, RSA-SHA-1, 依据 RFC 4034, ， 这 是 必须 支持 的 。 

© 值 =6。DSA-NSEC3-SHA-1 一 一 算法 3 的 一 个 别名 ， 但 带 有 NSEC3 记录 (而 


不 是 NSEC 记录 ) 使 用 的 标识 符 。 


@ 值 =7。RSA-SHA-1-NSEC3-SHA-1 一 一 算法 5 的 一 个 别名 ， 但 带 有 NSEC3 id 
(而 不 是 NSEC 记录 ) 使 用 的 标识 符 。 

值 =8。RSA-SHA-256。 

值 =10, RSA-SHA-256, 

fl =12, GOST R 34. 10-2001, 

值 =232。 间 接 的 。 

H = 253-254, MANY, 

值 =0、123-251、255 。 保 留 的 。 

W 其 他 值 。 未 指派 的 。 

4) 密 钥 字段 是 公开 密 钥 。 

(2) DS 一 一 委派 的 签名 人 记录 。RFC 4034" 定义 了 DS 资源 记录 类 型 ， 它 本 质 


co ORC) 


上 将 信任 链 扩展 到 一 个 签 过 名 的 委托 域 (区 域 ) DS 资源 记录 使 一 个 父 区 域 可 认证 
它 的 子 区 域 的 公开 密 钥 签名 密 钥 (KSK 的 DNSKEY 记录 )。 如 此 ， 则 每 个 DS 记录 指 
向 委托 子 区 域 中 的 一 个 特定 〈 由 密 钥 标签 指明 ) DNSKEY 资源 记录 。 认 证 DS 记录 使 
各 客户 端 可 认证 子 区 域 的 DNSKFY。 


O DSA = 美国 政府 数字 签名 算法 
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属 主 TTL 类 类 型 RData 
委托 域 TIL IN DS 密 钥 标签 、 算 法 ”类 型 ”摘要 
child. ipamww. com. 86400 IN DS 32284 5 1 75CF28D30Q35. . . 


算法 字段 识别 在 对 应 DNSKEY 记录 上 的 算法 字段 。 通 过 在 摘要 记录 中 包括 DNS- 
KEY RR 的 一 个 摘要 ( 散 列 函数 )，DS 记录 指向 一 个 DNSKEY 记录 ; [摘要 ] 类 型 字 
段 指 明 用 来 构造 摘要 的 算法 。 

(3) DLV 一 一 DNSSEC 旁 查 (lookaside) 验证 记录 。 在 RFC 4431025 中 规范 定义 ， 
DLV 资源 记录 用 在 DNSSEC 内 ， 用 于 在 正常 的 DNS 域 树 层次 结构 ( 即 信任 链 ) 之 外 
发 布 信任 锚 点 。DLYV 记录 是 结构 上 等 同 于 DS 记录 的 ， 这 是 指 它 识别 一 个 “代理 的 父 
区 域 "， 且 由 此 认证 该 “ 子 ” 区 域 的 公开 密 钥 签 名 密 钥 记录 (DNSKEY)。 旁 查验 证 
的 意图 是 在 没有 根 和 TLD 区 域 签 名 的 情况 下 ， 提 供 一 种 替代 的 上 行 信任 销 点 ， 例 
如 dlv. ise. org, 


属 主 TTL 类 类 型 RData 
DLV sak TTL IN DLV 密 钥 标签 算法 类 型 摘要 
ipamww. com. dlv_reg. net 86400 IN DLV 32284 5 1 90df80DF89ILe. . . 


(4) NSEC 一 一 下 一 个 安全 记录 。NSEC 资源 记录 类 型 提供 两 个 信息 集合 。 在 一 
个 区 域 中 的 NSEC RR 集合 形成 该 区 域 中 权威 属 主 名 的 一 个 链 ， 并 指明 在 该 区 域 中 存 
在 哪些 权威 的 RRSet。NSEC 资源 记录 包含 下 一 个 属 主 名 (识别 在 该 链 内 的 关联 权威 
JEEZ) 和 NSEC 资源 记录 的 属 主 名 下 存在 的 RR 类 型 集合 。 


属 主 TTL 类 类 型 RData 
RRSet 属 主 TTL IN NSEC 下 一 个 RRSet 属 主 ”类 型 比特 映射 
nsl. ipamww. com. 86400 IN NSEC ns2. ipamww. com. A NS RRSIG NSEC 


下 一 个 RRSet 属 主 字段 包含 以 区 域 规范 顺序 排列 的 下 一 个 属 主 名 ( 它 有 权威 数 
据 ) ， 或 包含 定义 一 个 委托 点 的 一 个 类 型 NS 的 RRSet。 这 在 NSEC 属 主 字段 内 已 识别 
RRSet 和 下 一 RRSet 属 主 RData 字段 之 间 资 源 记 录 存 在 性 的 已 认证 否定 结果 。 类 型 比 
特 映 射 字 段 识别 存在 于 这 个 NSEC 资源 记录 属 主 名 下 的 资源 记录 类 型 。 在 这 个 字段 
内 ， 如 果 一 个 bit =1， 那 么 对 应 于 这 个 bit 号 的 RRType 就 是 存在 的 。 因 此 如 果 bitl 为 
1， 则 对 应 于 RRType =1 或 A 记录 ,那么 就 存在 一 个 A RRSet。 幸 运 的 是 ， 这 个 内 容 
的 文本 表示 位 于 人 们 熟悉 的 资源 记录 类 型 助 记 符 范围 内 。 

(5) NSEC3 一 一 NSEC3 记录 。NSEC 资源 记录 提供 了 对 RRSet 存在 性 的 经 过 认证 
的 拒绝 答复 ， 但 它 也 支持 轻易 将 区 域 中 RRSet 枚 举 出 来 ， 这 被 认为 是 一 个 信息 安全 风 
险 。 换 句 话 说， 一 名 好 奇 的 或 恶意 的 查询 者 可 尝试 解析 一 个 伪造 的 名 字 ， 并 接收 到 包 
含 被 查询 主机 名 的 资源 记录 属 主 名 列表 。 

像 NSEC 一 样 ，NSEC3 记录 提供 经 过 认证 的 RRSet 存在 性 拒绝 答复 ,但 使 区 域 中 
的 RRSet 链 有 点 混乱 。 这 种 混乱 使 一 个 区 域 的 内 容 的 指纹 操作 ， 从 计算 角度 看 更 加 密 
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集 。NSEC3 并 不 指向 新 的 属 主 名 字段 ， 相 反 ， 它 指向 散 列 序 中 的 下 一 个 经 过 散 列 处 
理 的 属 主 名 字段 。 在 散 列 值 产生 之 前 添加 到 每 个 属 主 名 的 精 选 值 (salt value) 使 某 人 
尝试 对 区 域 进行 指纹 操作 ， 产 生 经 过 散 列 的 属 主 名 字 更 加 复杂 。 

对 于 区 域 中 的 每 个 RRSet， 使 用 可 施用 于 属 主 名 的 指定 散 列 算法 ， 对 属 主 字 段 进 
行 散 列 处 理 ， 并 与 < Iterations (重复 次 数 ) > +1 次 的 sat ( 精 选 ) 字段 串 接 在 一 起 。 
如 下 伪 码 以 男 一 种 方式 对 此 进行 了 说 明 : 

x = | 与 精 选 值 串 接 的 RRSet 属 主 字段 

y=H(x) x 的 一 个 散 列 值 ,依据 前 面 语句 定义 的 算法 实施 计算 

for(i = 重复 值 ; i > 0; i-) | 


y = H(y) 
| 
属 主 TTL 类 类 型 RData 
散 列 算法 ”标志 EAKA WEKE Wi 
经 过 散 列 处 理 前 
A EE mm | IN | NSE | 值 散 列 长 度 下 一 个 经 过 散 列 处 理 的 属 主 名 
ifm 类 型 比特 映射 
. 02 8 a808f6cela950blc 18 kOLse7--- A RRSIG 
jAdfJE; ... 86400 IN NSEC3 
NSEC3 
NSEC3 记录 的 RData 字段 定义 如 下 : 
1) 散 列 算法 。 用 来 构造 散 列 值 的 算法 ;有效 值 是 


O 保留 的 。 

© 1 =RSA-SHA-1。 

@) 2 ~255。 未 指派 的 。 

2) 标志 。 由 一 组 8 个 布尔 标志 组 成 ,标志 字 有 段 目 前 有 一 个 已 定义 的 单一 标志 
(bit0) 。 如 果 bit0 被 设置 ， 则 这 表明 这 个 记录 涵盖 了 一 个 或 多 个 未 签名 的 委托 记录 。 
这 个 决定 退出 标志 使 保障 委托 安全 “退出 ”到 未 签名 的 区 域 ( 即 验证 一 个 子 区 域 的 
DS 记录 是 不 存在 的 ) 。 

3) 重复 。 指 定 散 列 函 数 的 附加 施用 次 数 。 

4) 精 选 长 度 。 包 括 在 传输 (wire) 格式 内 ,但 不 存在 于 资源 记录 文本 格式 内 ， 
这 个 字段 指明 以 字 节 表示 的 精 选 字段 长 度 (有 效 值 =0 ~255)。 

5) 精 选 (Salt) 值 。 在 应 用 散 列 函数 之 前 ， 将 精 选 字段 的 值 附加 在 RRSet 之 后 ， 
并 以 不 区 分 大 小 写 的 十 六 进 制 方式 表示 。 

6) 散 列 长 度 。 以 字 节 表示 的 下 一 个 经 散 列 处 理 过 的 属 主 名 字段 的 长 度 ， 包 括 传 
输 的 格式 ， 但 不 以 资源 记录 文本 格式 表示 。 

7) 下 一 个 经 散 列 处 理 过 的 属 主 名 。 

8) 类 型 比特 映射 。 这 个 字段 在 区 域内 为 这 个 属 主 定义 了 资源 记录 类 型 ， 并 以 
NSEC 记录 中 相应 字段 的 相同 形式 进行 编码 。 

(6) NSEC3PARAM——NSEC3 参数 记录 。NSEC3PARAM 记录 类 型 定义 了 计算 散 
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列 属 主 名 所 需 的 参数 以 及 区 域内 要 签名 的 对 应 NSEC3 记录 。 服 务 器 使 用 
NSEC3PARAM 记录 ,来 识别 对 一 条 查询 做 出 响应 的 否定 答案 。 由 此 ， 当 一 条 查询 到 
达 ， 要 查询 区 域内 一 条 不 存在 的 RRSet 时 ， 服 务 器 将 施用 NSEC3PARAM 参数 ， 对 被 
查询 的 属 主 名 进行 散 列 处 理 ， 目 的 是 提供 一 条 合适 的 NSEC3 响应 ， 即 这 条 被 查询 的 
属 主 名 落 在 哪 两 个 散 列 处 理 过 的 RRSet 之 间 ? 在 区 域 文件 内 应 该 仅 存 在 一 条 
NSEC3PARAM 记录 。 当 服务 器 自 动 地 对 新 的 RRSet 或 改变 的 RRSet 签名 时 ， 服 务 器 
也 使 用 NSEC3 PARAM 记录 。 
RData 字段 和 NSEC3 RData 字段 内 的 相应 字段 一 样 具 有 相同 的 含义 。 


属 主 TTL 类 类 型 RData 
散 列 算法 ”标志 ”重复 次 数 ” 精 选 长 度 
域名 TTL IN NSEC3PARAM is in 法 标志 EEKE WEE 
精 选 值 
ipamww. com. 86400 IN NSEC3 PARAM 1 0 2 8 a808f6cel a950b1 c 
(7) RRSIG 一 一 资源 记录 和 集 签名 记录 。 资 源 记录 集 签名 资源 记录 包含 与 一 个 给 定 
RRSet 关联 的 数字 签名 。 这 个 签名 ,与 区 域 的 公开 [ 区域 签 名 ] 密 钥 一 起 ， 用 来 认证 


相应 的 RRSet 的 完整 性 和 来 源 。 
属 主 TTL 类 类 型 RData 


涵盖 类 型 ”算法 标签 ”原始 TTL 签名 超时 签 
名 开始 时 间 ” 密 钥 标 签 ” 签 名 者 ”签名 


= 


RRSet 属 主 TTL IN RRSIG 


A 5 3 86400 20080515133509 20080515133509 


ftp1. ipamww. com. 86400 IN RRSIG i 
27783 ipamww. com. N78E--- 


RRSIG 记录 内 部 的 RData 字段 定义 如 下 : 

1) 涵盖 类 型 。 由 这 个 签名 所 签署 的 相应 属 主 和 类 的 资源 记录 类 型 。 这 个 字段 是 
本 章 通 篇 针对 资源 记录 所 讨论 的 标准 资源 记录 类 型 。 在 上 例 中 ，A (地 址 ) 资源 记录 
类 型 指明 ， 类 IN 的 带 有 名 字 = fpl. ipamww. com (WEFR) 的 一 条 记录 是 使 用 这 条 
RRSIG 记录 进行 签名 的 。 

2) 算法 。 出 于 与 所 接收 签名 的 比较 目的 ， 这 个 算法 用 于 产生 数据 的 散 列 值 。 这 
个 字段 以 DNSKEY 资源 记录 类 型 的 算法 字段 相同 的 方式 进行 编码 。 

3) 标签 。 指 明 标签 数量 。 回 顾 一 下 ,标签 是 指向 域名 的 文本 表示 的 ， 每 个 名 字 
“位 于 点 号 之 间 ” 都 有 一 个 标签 。 因 此 ，www. ipamworldwide. com 有 三 个 标签 。 这 个 
字段 用 来 重 构 原 始 属 主 名 ， 用 来 在 如 下 情形 中 产生 签名 ， 即 由 服务 器 返回 的 属 主 名 有 
一 个 通 配 标 签 ( * ) 。 

4) 原始 TTL。 在 权威 区 域 中 定义 的 签名 RRSet 的 TTL， 用 来 验证 一 个 签名 。 需 
要 这 个 字段 ， 原 因 是 在 原始 响应 中 返回 的 TTL 字段 ， 正 常情 况 下 要 由 一 个 缓存 解析 
器 做 减 一 处 理 ， 使 用 那个 TTL 值 可 能 导致 错误 的 计算 。 

5) 签名 超时 。 这 个 签名 超时 时 的 日 期 和 时 间 ， 表 示 为 自 1970 年 1 月 1 日 00: 
00: 00 UTC 以 来 的 秒 数 ， 或 表示 为 YYYYTMMDDHHmmSS 的 形式 ， 其 中 。 
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D YYYY 是 年 。 

@ MM 是 月 , 01 ~12。 

@ DD 是 月 中 的 日 期 ，01 ~ 31。 

@ HH 是 24h 表示 法 中 的 h，00 ~23。 

© mm 是 min, 00 ~59, 

© SS Æ s, 00 ~59, 

D 在 这 个 日 期 /时 间 之 后 ， 签 名 是 无 效 的 。 

6) 签名 开始 时 间 。 这 个 签名 开始 时 的 日 期 和 时 间 ， 其 格式 化 的 方法 与 签名 超时 
字段 的 方式 相同 。 在 这 个 日 期 /时 间 之 前 ， 签 名 是 无 效 的 。 

7) 密 钥 标签 。 提 供与 相应 DNSKEY 资源 记录 的 一 个 关联 ， 该 资源 记录 可 被 用 来 
验证 签名 。 

8) 签名 者 的 名 字 。 识 别 DNSKEY 资源 记录 的 属 主 名 ( 即 域名 ) ， 该 资源 记录 可 
被 用 来 验证 这 个 签名 。 

9) 签名 。 涵 盖 该 资源 记录 集 的 密码 学 签名 ， 资 源 记录 集合 由 这 个 RRSIG EE, 
类 所 定义 ， 包 括 类 型 字段 和 这 RRSIG RData 字段 (排除 这 个 签名 字段 ) 。 


10.4.2 其 他 面向 安全 的 DNS 资源 记录 类 型 


(1) TA 一 一 信任 权威 记录 。 虽 然 不 存在 定义 TA 资源 记录 的 一 个 RFC， 但 IANA 
已 经 为 它 分 配 了 一 个 值 ， 所 以 我 们 在 这 里 描述 一 下 。TA 资源 记录 在 格式 上 与 DS id 
录 类 型 的 格式 相同 ， 包 括 密 钥 标签 、 算 法 、 摘 要 类 型 和 摘要 的 RData 字段 。 使 用 TA 
记录 的 做 法 ， 使 一 个 解析 器 能 够 有 一 个 资源 记录 签名 ， 该 签名 由 一 个 已 知 的 信任 权威 
验证 ， 即 使 根 区 域 没 有 被 签名 的 情况 下 也 是 如 此 〈 它 现在 已 被 签名 ) 。 现 在 使 用 DLV 
记录 提供 这 个 功能 。 

(2) CERT 一 一 证 书记 录 。RFC 4398'"° 定义 了 CERT 记录 ， 作 为 DNS 中 存储 证 
书 和 证 书 撤销 列表 (CRL) 的 一 种 方法 。 证 书 提供 了 识别 一 个 组 织 机 构 、 服 务 器 、 个 
人 或 其 他 实体 的 一 种 方式 ， 并 将 一 个 公开 密 钥 与 那个 身份 相关 联 。 公 开 密 钥 可 被 用 来 
认证 发 送 者 的 身份 ， 对 通信 进行 加 密 和 解密 ， 并 验证 消息 的 完整 性 。 证 书 是 层次 结构 
的 ， 并 可 被 用 来 到 一 个 已 知 信任 实体 (证 书 权 威 ) 的 (关系 ) 进行 验证 。CRL 是 证 
书 的 列表 ， 由 于 超时 或 人 工 撤销 ， 这 些 证 书 已 被 撤销 。 

包含 证 书 的 CERT 记录 被 存储 在 DNS 之 中 ， 使 解析 器 可 通过 DNS 得 到 证 书 ， 而 
不 是 从 一 个 目的 地 证 书 服务 器 处 得 到 证 书 。CERT 资源 记录 有 如 下 格式 。 


7 


属 主 TTL 类 类 型 RData 
成 名 TTL IN CERT | 证 书 类 型 ” 密 钥 标签 ”算法 ”证书 或 CRL 
ipamww. com. 86400 IN CERT | PGP 436 3 A4df480DFC9ILa. . . 


当 在 该 记录 的 RData 部 分 包括 一 个 证 书 时 ， 属 主 字段 识别 证 书 所 施用 的 实体 。 如 
果 一 个 CRL 被 包括 在 RData 节 中 ,， 则 属 主 名 应 该 包含 与 发 行 权威 有 关 的 域名 。RData 
部 分 包含 如 下 子 字段 。 
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1) 证 书 类 型 。 例 如 X. 509/PKIX、PGP 以 及 其 他 。 

2) 密 钥 标签 。 用 来 加 速 到 那些 匹配 密 钥 标签 的 相关 证 书 的 识别 过 程 。 

3) 算法 。 在 阐述 密 钥 中 使 用 的 算法 ， 它 以 DNSKEFY 资源 记录 类 型 中 算法 字段 相 
同 的 方式 进行 编码 。 

4) 证 书 或 CRL。 

(3) IPSECKEY 一 一 IPSec 记录 的 公开 密 钥 。 在 RFC 4025! 中 定义 的 IPSECKEY 
资源 记录 类 型 ， 提 供 了 一 种 在 DNS 中 存储 一 个 公开 密 钥 的 方式 ， 该 密 钥 与 IPSEC 一 
起 使 用 。 这 个 资源 记录 一 种 使 一 个 客户 端 能 够 寻求 与 一 台 远 端 主机 建立 一 条 IPSec pă 
道 ， 用 来 识别 认证 该 远 端 主机 的 方式 ， 并 确定 是 与 该 主机 是 直接 连接 ， 或 通过 作为 一 
个 网 关 的 另 一 个 节点 进行 连接 。IPSECKEY 资源 记录 与 预期 远 端 主机 的 IP 地 址 或 主机 
域名 关联 。IP 地 址 被 存储 在 . arpa. reverse 域 空间 之 中 。IPSECKEY 资源 记录 的 格式 
如 下 。 


属 主 TTL 类 类 型 RData 
在 . arpa. HP AY IP rEg 网 关 类 型 ”算法 网关 公 
在 arpa 或 中 的 iat, iN faciy 优先 级 网 关 类 型 算法 网 关 公开 
地 址 或 主机 域名 密 钥 
1. 0. 12. 10. in- 
86400 IN IPSECKEY | 1012 10. 100. 1.2 Adf4C91L... 
addr. arpa. 


RData 字段 包含 如 下 字段 。 

1) 优先 级 。 用 来 对 一 个 常见 RRSet 内 的 多 条 记录 确定 优先 级 ， 使 用 最 低 优 先 级 
优先 的 方法 。 

2) 网 关 类 型 。 指 明 网 关 字 段 的 格式 。 

QD 0 = 不 存在 网 关 。 

@) 1 =IPv4 地 址 。 

3) 2 = IPv6 地 址 。 

@ 3 = FQDN, 

3) 算法 。 公 开 密 钥 字 段 的 格式 。 

Q@ 0 = 不 存在 密 钥 。 

@) 1 =DSA 格式 的 密 钥 。 

@ 2 = RSA 格式 的 密 钥 。 

4) 网 关 。 标 识 一 个 网 关 ， 为 了 到 达 远 端 主机 (由 属 主 字 段 标 识 ) 而 与 该 网 关 建 
立 一 条 IPSec 隧道 。 这 个 字段 的 解释 受到 网 关 类 型 字段 的 控制 。 

5) 公开 密 钥 。 所 产生 的 密 钥 ， 使 用 算法 字段 中 指定 的 算法 产生 。 

(4) KEY 一 一 密 钥 记录 。 密 钥 记录 使 用 DNSSEC 的 初始 典型 (incarnation) 加 以 
定义 ,但 由 DNSKEY 资源 记录 取代 。 但 是 ， 在 DNSSECbis 发 布 之 前 ， 密 钥 记 录 也 被 
用 来 存储 与 SIG (0) 记录 关联 的 公开 密 钥 。 密 钥 记 录 与 DNSKEY 记录 具有 相同 的 
格式 。 


178 IP 地 址 管理 原理 与 实践 


RE TTL 类 类 型 RData 
密 钥 名 TIL IN KEY 标志 协议 算法 密 钥 
K3941. ipamww. com. 86400 IN KEY 256 3 1 12S9X-wek8F (le... 


(5) KX 一 一 密 钥 交换 器 记录 。KX 记录 支持 一 个 中 介 的 指 定 ， 它 可 代表 男 一 台 
主机 提供 一 个 密 钥 。 换 句 话 说 ， 如 果 打 算 与 x ipamworldwide. com 进行 密 钥 协商 ， 则 
KX 记录 可 指向 y. ipamworldwide. com 主机 域名 ， 应 该 与 其 进行 密 钥 交换 协商 。 一 个 优 
先 级 字段 文 持 多 个 替代 域 的 指定 ， 它 们 具有 进行 密 钥 协商 的 不 同 优先 级 。 


属 主 TTL 类 类 型 RData 
主机 域名 TTL IN KX 优先 级 密 钥 交换 器 主机 域名 
x. ipamworldwide. com. 86400 IN KX 10 y. ipamworldwide. com. 
x. ipamworldwide. com. 86400 IN KX 20 z. ipamworldwide. com. 


(6) SIG 一 一 签名 记录 。 在 DNSSEC 范围 内 ， 由 RRSIG 记录 取代 SIG 资源 记录 ， 
但 在 DNSSEC 范围 之 外 ，SIG 记录 仍然 用 于 数字 化 地 签名 DNS 更 新 和 区 域 传递 。 即 ， 
您 不 需要 部 署 DNSSEC 来 支持 更 新 和 区 域 传 递 的 事务 签名 。 ea ers 
(事务 签名 ) 记录 使 用 共享 的 秘密 密 钥 进行 签名 ， 或 通过 SIG (0) 使 用 私有 / 公 
钥 进 行 签名 ， 在 后 一 种 方法 中 对 应 的 公开 密 钥 被 存储 为 KEY (WH) 记录 。 Go 
表示 法 指使 用 带 有 一 个 空 (0) 类 型 涵盖 字段 的 SIG 资源 记录 。 在 这 样 的 情形 下 
RFC 2931 (118) 建议 将 属 主 字段 设置 为 根 、TTL 设置 为 0、 类 设置 为 ANY， 如 下 例 
所 示 。 

SIG 记录 的 格式 等 同 于 RRSIG 记录 的 格式 ， 例 外 是 超时 日 期 和 开始 日 期 字段 的 格 
式 有 所 不 同 ; 对 于 SIG 记录 ， 这 些 字段 不 是 依据 RRSIG 记录 的 日 期 格式 的 ， 相 反 将 
其 格式 定 为 一 个 递增 的 整数 ， 列 举 自 1970 年 1 月 1 日 00: 00; 00 UTC 以 来 的 秒 数 。 
这 个 计数 器 将 会 返回 到 0， 并 在 计数 器 超过 42.9 亿 秒 (136 年 多 一 点 ) 之 后 ， 继 续 
计数 。 
属 主 TTL 类 类 型 RData 
涵盖 类 型 算法 标签 ”原始 TTL 签名 超时 “签名 开始 
密 钥 标签 ”签名 者 “签名 


RRSet 域 TTL IN SIC 


0 3 3 86400 20080515133509 20080515133509 26421 ipam- 


ww. com. Zx9v. . . 


0 ANY SIG 


(7) SSHFP 一 一 安全 的 Shell (外 壳 ) 指纹 记录 。 安 全 的 外 壳 (SSH) 协议 支持 
在 一 个 不 安全 的 耳 网 络 上 ， 从 一 台 客 户 端 到 一 台 服 务 器 和 其 他 安全 网 络 服务 的 安全 
登录 。 链 接 的 安全 性 依赖 于 用 户 向 服务 器 认证 他 或 她 自己 ， 以 及 服务 器 向 客户 端 认 证 
服务 器 自己 ,使 用 的 是 Diffie-Hellman 密 钥 交换 。 如 果 客 户 端 还 不 知道 公开 密 钥 ， 则 
为 了 验证 用 户 ， 服 务 器 提供 密 钥 的 一 个 指纹 。 在 DNS 中 存储 这 个 密 钥 指纹 ， 为 客户 
端 通过 一 个 “第 三 方 ” 以 带 外 方式 查找 并 验证 指纹 ， 提 供 了 一 种 方法 。 查 找 要 求 使 
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用 DNSSEC， 来 保障 查找 过 程 的 安全 ， 并 确保 消息 完整 性 。SSHFP 资源 记录 是 用 来 存 
储 这 些 SSH 指纹 的 记录 类 型 。 


属 主 TTL 类 类 型 RData 
主机 域名 TTL IN SSHFP 算法 指纹 类 型 ”指纹 
srv21. ipamww. com. 86400 IN SSHFP 2 1 8Fd7q90Dttd. . . 


SSHFP 记录 的 RData 部 分 包括 如 下 字段 。 
1) 算法 。 当 前 定义 的 值 如 下 。 

QD 0= 保留 的 。 

© 1=RSA。 

@2=DSA。 

2) 指纹 类 型 。 当 前 定义 的 值 如 下 。 

@ 0 = 保留 的 。 

© 1=SHA-1, 

3) 密 钥 指纹 。 


10.4.3 ”地理 定位 查找 


(1) GPOS 一 一 地 理 位 置 记录 。 最 初 在 REC 1712022 中 定义 的 GPOS 资源 记录 类 
型 ,已 经 被 LOC 资源 记录 类 型 所 替代 。GPOS 对 一 台 主 机 的 经 度 、 纬 度 和 高 度 编 码 ， 
如 下 所 示 。 


属 主 TTL 类 类 型 RData 
主机 域名 TIL IN GPOS 经 度 纬度 高 度 
srvl. ipamww. com. 86400 IN GPOS 39. 582 -75. 801 128.2 


(2) LOC 一 一 定位 资源 记录 。 这 种 类 型 的 资源 记录 支持 对 相应 主机 的 经 度 、 纬 度 
和 高 度 信息 进行 编码 。RFC 1876 ”定义 了 LOC 记录 ， 这 就 废弃 了 CPOS 资源 记录 类 
型 。LOC 记录 的 RData 字段 给 出 了 三 个 维度 中 的 每 个 坐标 。 

1) aE ( “’" “"") “N” BR “S”, 

2) BES (r em) “E R W, 
3) RE, Wh m 为 单位 的 高 度 。 
4) 每 个 测度 的 准确 度 ， 以 m 为 单位 的 “误差 球面 ”的 直径 。 


属 主 TIL 类 类 型 RData 
主机 域名 | TTL | IN | LOC | 纬度 经 度 高 度 准确 度 
srv-97. ipamww. com. 86400 IN LOC 3958 N 7538 W 128 50m 


在 上 面 的 例子 中 ， 主 机 名 为 srv-97. ipawmww. com 的 机 需 位 于 北纬 39"$8' 、 西 经 
75?"38'， 海 拔 128m 处 ， 精 确 度 都 在 直径 为 50m 的 误差 球面 内 。 
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10.4.4 非 IP 主 机 地 址 查找 

(1) ISDN 一 一 综合 业务 数字 网 记录 (试验 型 的 ) 。 该 ISDN 类 型 支持 将 一 个 ISDN 
地 址 与 一 台 主 机 关联 。ISDN 地 址 的 形式 为 一 个 电话 号 码 ， 由 国际 电信 联盟 标准 
E. 164 定义 。 子 地 址 字段 是 可 选 的 。 


属 主 TTL 类 类 型 RData 
主机 域名 TTL IN ISDN ISDN 地 址 子 地 址 
isdnhost. ipamww. com. 86400 IN ISDN 16105551298 318 
(2) NSAP 一 一 网 络 业 务 接 入 点 记录 。NSAP 资源 记录 支持 将 一 个 主机 名 或 FQDN 


翻译 为 一 个 网 络 业 务 接 入 点 (NSAP) 地 址 。NSAP 是 一 台 网 络 设备 的 表示 法 ， 该 设 
备 支 持 ISO 无 连接 网 络 协 议 (CLNP)。 不 需要 了 解 NSAP 地 址 的 细节 ， 这 种 地 址 从 来 
就 没有 真正 被 人 们 所 理解 ，NSAP 资源 记录 的 功能 等 价 于 IPv4 的 一 个 A 记录 和 IPv6 
的 AAAA 记录 。 它 为 一 个 被 查询 的 主机 名 提供 一 个 目的 地 址 。 


BE TTL 类 类 型 RData 
主机 域名 TTL IN NSAP NSAP 地 址 
nsap- host. ipamww. com. 86400 IN NSAP 47. 0005. 09. d78d01. 1010. Offe. 0011. . . 00 


(3) NSAP-PTR 网 络 业 务 接 入 点 反 向 记录 。NSAP-PTR 记录 类 型 执行 NSAP 
地 址 的 等 价 指针 记录 功能 ， 它 将 一 个 NSAP 地 址 后 级 链接 到 一 个 主机 域名 。nsap. int 
域 作为 相应 反 向 TLD。 就 和 基于 P 地 址 的 指针 记录 一 样 ，NSAP 地 址 必须 被 反 向 ， 在 
每 个 数字 之 间 插 入 点 号 。 最 后 ， 添 加 nsap. int. 后 级。 


属 主 TTL 类 类 型 RData 
被 反 向 的 NSAP 地 址 TTL IN | NSAP-PTR 主机 域名 
0.0. .. 1. 1. 0. 0. e. f. f. 0. 0. 1. 0. 1. 1. 0. d. 8. 7. d. 9. Nsap- 
86400 IN NSAP-PTR 
0. 5. 0. 0. 0. 7. 4. nsap. int. host. ipamww. com 


(4) PX 一 一 X. 400 的 指针 。PX 资源 记录 是 在 RFC 2163 中 定义 的 ， 意 图 是 在 
DNS 域名 和 一 个 X. 400 地 址 之 间 提 供 一 个 映射 ， 用 于 电子 邮件 地 址 映射 。X. 400 是 消 
息 通信 或 电子 邮件 的 一 个 OST 标准 ， 但 如 今 多 数 系统 都 使 用 简单 邮件 传递 协议 。 这 个 
资源 记录 类 型 用 于 包含 SMTP 到 X. 400 电子 邮件 网 关 的 网 络 ， 该 网 关 也 被 称 作 MIXER 
(MIME 因特网 X. 400 增强 型 中 继 ) 网 关 。 使 用 源 发 者 /接收 者 (OR) 惯例 形成 
X. 400 地 址 。 


BE TTL 类 类 型 RData 
RA TTL IN PX 优先 级 DNS 域 X. 400 映射 
ipamww. com. 86400 IN PX 10 ipamww. com. O = company. PRMDnetx. ADMD. C = tv. 


(5) X25 一 一 X. 25 PSDN 地 址 记录 (试验 型 的 ) 。 这 是 一 个 试验 型 的 资源 记录 且 
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没有 被 广泛 使 用 ， 原 因 是 X. 25 报 文 交换 数据 网 络 (PSDN) 如 今 没 有 被 广泛 使 用 。 
它 具 有 许多 可 能 应 用 。 

1) 记录 在 IP 到 X.25 和 SMTP 到 X.25 的 静态 配置 中 所 用 的 地 址 。 

2) 自动 地 将 一 个 IP 地 址 与 PSDN 地 址 相关 联 。 

3) 将 名 字 配 置 到 X. 25 PSDN 地 址 。 


它 也 为 广 域 非 广播 网 络 提 供 了 一 项 类 似 ARP 的 功能 。 
属 主 TTL 类 类 型 RData 
主机 域名 TTL IN X25 PSDN 地 址 
x25-host. ipamww. com 86400 IN X25 31161700956 


(6) RT 一 一 路 由 通过 。 路 由 通过 资源 记录 是 在 RFC 1183" 中 定义 的 ， 并 被 用 

指明 一 个 代理 或 替代 目的 地 ， 在 没有 PAT, 将 主机 的 流量 路 由 

到 该 代理 或 替代 目的 地 。 可 识别 确定 多 个 路 由 通过 主机 ， 每 个 都 带 有 关联 的 优先 级 
值 ， 这 很 像 MX 资源 记录 。 


属 主 TTL 类 类 型 RData 
主机 域名 TTL IN RT 优先 级 代理 主机 名 
host. ipamww. com. 86400 IN RT 10 proxy. ipamww. com. 


10.4.5 Null 记录 类 型 


NULL ( 空 ) 资源 记录 类 型 是 试验 型 的 ， 并 支持 指定 多 达 65535B 的 “任何 东 
西 ” 。 通 常 它 是 可 被 忽略 的 ， 且 不 被 广泛 使 用 。 


属 主 TTL 类 类 型 RData 


主机 域名 TTL IN NULL | 多 达 65535 个 字 节 的 “任何 东西 ” 


“Ignore this NULL resource record!” (: 忽略 这 条 


asks thaw: 6400 IN NULL 
ost. ipamww. com 8 y NULL 资源 记录 ) 


10.5 试验 型 的 名 字 - 地 址 查找 记录 


10.5.1 IPv6 地 址 链 一 一 A6 记录 (试验 型 的 ) 


考虑 到 IPv6 地 址 的 绝对 (sheer) KEE, IETF 考虑 了 将 主机 名 解析 到 IPv6 地 址 的 
一 种 迭代 方法 。 在 RFC 2874") 中 定义 的 A6 记录 ， 其 意图 是 将 一 个 主机 域名 映射 到 
一 个 IPv6 地 址 的 一 部 分 (或 所 有 部 分 ) ， 带 有 各 个 指针 ， 用 于 使 解析 右 和 迭代 地 将 IPv6 
地 址 的 剩余 部 分 解析 到 完整 的 128bit。 这 就 支持 了 主机 域名 的 解析 ， 方 法 是 从 最 常见 
的 接口 ID 开始 ， 之 后 添加 合适 的 子 网 ID 和 全 局 路 由 前 经， 本质 上 是 从 右 到 左 地 移 
动 ， 解析 主机 名 地 址 。 其 意图 是 简化 IPv6 网 络 的 重新 编 址 ， 由 于 网 络 维护 、ISP 变更 
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或 其 他 原因 ， 这 种 做 法 可 能 是 必要 的 。 为 许多 台 主 机 变更 子 网 ID 就 和 变更 一 条 记录 
一 样 简单 ， 所 以 不 用 改变 每 台 主 机 的 记录 。 

但 是 ， 由 于 以 合适 的 链接 关系 (并 防止 开放 的 链接 ) 而 准确 地 配置 DNS 的 复杂 
性 ， 这 条 记录 类 型 被 更 改 为 试验 状态 。 为 了 形象 地 说 明 这 点 ， 下 面 的 例子 形象 地 说 明 
A6 资源 记录 ， 并 说 明 后 续 的 三 条 查询 如 何 被 用 来 进行 完全 解析 。 注 意 ， 基 于 个 体 优 
先 级 ， 可 定义 更 多 的 或 更 少 的 链接 关系 。 


属 主 TIL S 类 型 RData 
主机 域名 TTL IN A6 WAKE 地 址 后 缀 前 缀 名 
64 ::A05F:0:0:2001 
ftp-sf ipamww. com. 86400 IN A6 . 
sf- net. ipamww. com. 
sf- net. ipamww. com. 86400 IN A6 64 0:0 :0:8400 :: na-west. ipamwwe. com. 
na- west. ipamww. com. 86400 IN A6 48 2001 : DB8 ;4AF0; ; 


注意 A6 资源 记录 的 RData 部 分 包含 三 个 子 字 段 。 前 缀 长 度 指明 从 地 址 开始 到 开 
始 插 入 地 址 后 缀 比特 这 段 范围 内 偏 移 比特 的 数量 。 因 此 ， 带 有 属 主 字 段 “fip- 
sf. ipamww. com. ”的 第 一 个 列 出 的 A6 记录 ， 指 明 一 个 64bit 的 前 级 长 度 ， 指 定 了 接口 
标识 符 为 :: AOSF: 0: 0: 2001, 

前 级 名 字段 提供 了 到 第 二 次 查找 的 一 个 链接 关系 ， 目 的 是 继续 构造 完整 的 128 it 
地 址 。 在 这 种 情形 中 ， 我 们 链接 到 “sf-net. ipamww. com. ”前 级 ， 它 指向 带 有 属 主 字 
段 “sf-net. ipamww. com. ” 的 一 条 A6 记录 。 对 应 的 A6 记录 指明 带 有 IPv6 地 址 0: 0: 
0: 8400:: 的 一 个 48bit 前 级 长 度 。 注 意 这 里 使 用 了 完备 IPv6 地 址 表示 法 ， 它 包括 对 
单一 双 冒 号 的 约束 。 之 后 这 条 记录 指向 na-west. ipamww. com. A6 记录 ， 这 就 以 零 偏 移 
针对 解析 完成 了 我 们 的 IPv6 地 址 构成 。 图 10-6 形象 地 说 明了 这 个 过 程 。 


84000000 0000 0000 0000 


2001| opes 4AF000000000 0000 00000000 


图 10-6 使 用 A6 记录 ， 对 一 个 IPv6 地 址 的 迭代 推算 


10.5.2 ” APL 一 一 地 址 前 缀 列表 记录 (试验 型 的 ) 
A 和 AAAA 记录 是 用 来 解析 主机 TP 地 址 的 ， 而 APL 记录 寻求 解析 地 址 前 缀 或 子 
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网 地 址 。 如 下 例子 形象 地 说 明了 这 样 一 个 场景 ， 它 通告 与 一 个 域 或 主机 关联 的 一 个 地 
址 范围 集合 。APL 记录 的 RData 部 分 由 一 个 可 选 的 感叹 字符 (1)、 地 址 族 (由 
IANAS 定 义 ) 后 跟 一 个 冒号 ， 之 后 是 CIDR 表示 ( 网络/ 前缀 长 度 ) 组 成 。 


属 主 TTL 类 类 型 RData 


主机 域名 TTL IN APL 地 址 族 : 地 址 /前 组 


1:10. 0. 128/18, ! 10. 16. 128.0/18 


sf-ftp. ipamww. com. 86400 IN APL 
2:2001 ; DB8 :4AF0 ;8400; :/56 


10.6 资源 记录 小 结 


表 10-1 汇总 了 当前 定义 的 资源 记录 集合 ， 它 依据 资源 记录 类 型 的 字母 顺序 排列 
(RRType 一 一 当 一 个 查询 器 从 DNS 中 寻找 这 种 类 型 的 信息 时 ， 它 也 对 应 于 有 效 的 
QType， 即 在 一 条 DNS 消息 的 问题 节 内 ) 。 虽 然 不 是 所 有 的 资源 记录 都 是 正 TF 标准 或 
甚至 定义 在 IETF 内 ， 但 这 些 资源 记录 的 多 数 记录 都 由 IANA 指派 了 一 个 RR 类 型 ID 
号 ， 它 们 都 在 此 列 出 。 和 所 定义 文档 一 起 也 给 出 了 当前 的 正 TF 状态 ， 可 获取 这 些 文 
FALME T EZAT 


k 


表 10-1 资源 记录 和 查询 类 型 小 结 


RRType( 或 QType) | RR 目的 ( 即 RData 内 容 ) RR 类 型 ID IETF 状态 定义 的 文档 
一 个 给 定 主机 名 的 IPv4 =, 
A 地 址 , 1 标准 RFC 10351%] 


一 个 给 定 主 机 名 的 IPv6 ar 
AAAA ia 28 ERINE RFC 3596112 


一 个 给 定 主机 名 的 IPv6 
A6 地 址 或 迭代 IPv6 地 址 解析 38 试验 型 
的 地 址 一 部 分 

一 个 给 定 AFS 和 DCE 域 


AFSDB : 18 试验 型 的 RFC 11831108 
9 服务 器 主机 名 5 


RFC 2874! '22 


fea 


m 


A i K EEN AE PE 
APL "E m ue 42 试验 型 的 RFC 31230124 


由 ATM 论坛 发 布 
一 台 主 机 的 异步 传递 模 
ATMA 34 没有 提交 的 ATM % FA 
式 (ATM) 地 址 没有 提交 i 名 字 系 统 
规范 125] 
CERT 证 书 或 证 书 撤销 列表 37 标准 跟踪 RFC 43981116] 


O HAHAE H IANA 维护 的 , JL http: //www. iana. org/assignments/address-family-numbers , 与 我 们 
的 例子 有 关 的 是 ，IANA 向 IPv4 指派 族 号 为 1、 向 IPv6 指派 族 号 为 2。 
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( 续 ) 
RRType( 或 QType) | RR 目的 ( 即 RData 内 容 ) RR 类 型 ID IETF 状态 定义 的 文档 
CNAME 一 台 主 机 的 主机 名 别名 5 标准 RFC 1035!%! 
将 一 个 DHCP 客户 端的 
DHCID 49 示 准 跟踪 FC 47011126 
身份 与 一 个 DNS 名 关联 标 RER RFC 470 
一 个 信任 锚 点 的 权威 区 FE 
DLV 信任 错 点 的 权威 32769 信 y RFC 4431115 
域 签名 (DNSSEC ) 
DNAME 域名 别名 39 建议 标准 RFC 2672117 
一 个 信任 链 内 的 示 准 跟踪 
DN ei 个 信任 链 内 的 权威 i 标准 跟踪 Areaali 
区 域 签名 (DNSSEC ) 
=: 标准 跟踪 
DS 被 委托 子 区 域 的 签名 43 RFC 4034! 14 
R (DNSSEC) 
RESERVED 
GID 组 ID 102 IANA- 保 留 的 
(保留 ) 
te 于 
一 台 给 定 主机 的 纬度 /经 
GPOS S 27 试验 型 的 RFC 1712/19! 
度 / 高 度 一 一 由 LOC 替代 
一 台 主 机 的 CPU 和 OS D 
HINFO fen ae a 13 标准 RFC 1035[%] 
AUG 
HIP 主机 身份 协议 55 试验 型 的 RFC 5205! 27! 
一 个 给 定 DNS 名 的 公开 
IPSECKEY 45 建议 标准 17] 
密 钥 用 于 IPsec 建议 标准 RFC 4025 
一 台 给 定 主机 的 综合 业 
ISDN 务 数字 网 (ISDN ) 地 址 和 子 20 试验 型 的 REC 11831108] 
地 址 
在 DNSSEC 内 由 DNS- 
KEY KEY 替代 ,但 仍 为 SIG (0) 25 建议 标准 REC 2536! ?8 
和 TKEY 所 
为 给 定 域 中 一 台 主 机 得 A 
KX m anes nea haa 36 信息 型 的 RFC 223011 
到 一 个 密 钥 的 中 间 域 


Y/Y cz a 14 E RE 

给 定 主机 的 纬度 /经 

LOC 29 不 常见 的 RFC 1876! '° 
度 /高 度 和 精度 


一 个 给 定 电子 邮件 的 


MB 7 试验 型 的 FC 103519! 
p 箱 名 试验 型 的 RFC 10 
一 个 给 定 域 的 H RR As 
WD 7 个 给 定 域 的 邮件 交付 à 过 时 的 are sansa 
主机 
为 了 将 邮件 转发 到 一 个 


MF 4 it Ft 4 99] 
给 定 域 ,将 接收 邮件 的 主机 AR J RER 
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(2) 
RRType(#% QType) | RR 目的 ( 即 RData WA) RR 类 型 ID IETF 状态 定义 的 文档 
一 个 给 定 H 由 件 ID it g 
MG cae ial Bf l 8 试验 型 的 “| RFC 10351% 
为 一 个 给 定 邮 箱 名 发 送 
MINFO 账户 请 求 或 错误 报告 的 邮 14 试验 型 的 RFC 1035!” 
箱 名 
MR 一 个 邮箱 名 的 别名 9 试验 型 的 RFC 1035!” 
电 主机 Ag H ee 
MX ee 了 件 解析 的 印 15 标准 RFC 1035!” 
用 于 DDDS ENUM 等 应 
NAPTR 用 的 一 个 通用 字符 串 的 统 35 标准 跟踪 REC 3761/1!!! 
一 资源 标识 符 
一 个 给 定 亏 
NS 定 域名 的 名 字 服 2 标准 RFC 1035[9%] 
一 合 主 6j P] 2 
NSAP N i i di 22 不 常见 | RFC 170610 
一 个 给 定 NSAP Hhh 
NSAP-PTR 主机 名 SAP 地 址 的 23 不 常见 REC 1706! 0] 
于 DNSSEC 的 一 个 资 N 
示 准 跟 示 
NSEC 源 记录 集合 的 经 过 认证 的 47 lk RFC 4034! 14] 
确认 或 存在 性 否定 确认 ` 
于 DNSSEC 的 一 个 资 = 
示 准 跟踪 
NSEC3 源 记 录 和 集合 存在 性 的 经 过 50 in RFC 5155! 331! 
认证 的 否定 确认 
用 于 计算 散 列 属 主 名 的 标准 跟踪 ii 
NSEC3 PARAM t 51 RFC 5155113] 
NSEC3 参数 ( DNSSEC) 
台 给 定 主机 的 任何 东 
NULL A Pog TEA 10 试验 型 的 ”| REC 1035[%] 
it FY A 
NXT 由 NSEC #£4% 30 pole REC 3755132] 
一 个 给 定 IPv 或 IPv6 H 
PTR ieee op Oe 12 标准 RFC 1035[9%] 
一 个 给 定 域名 的 X 400 
PX aie 给 定 域名 的 26 不 常见 RFC 2163121] 
一 台 主 机 的 电子 邮件 地 
RP 址 和 用 于 更 多 信息 的 TXT 17 试验 型 的 REC 1183!!! 


记录 指针 


186 IP 地 址 管理 原理 与 实践 
( 续 ) 
RRType( 或 QType) | RR 目的 ( 即 RData 内 容 ) RR 类 型 ID IETF 状态 定义 的 文档 
一 个 给 定 域名 、 类 和 RR a 
a pe 
RRSIG 类 型 的 资源 记录 集合 的 46 PHERI RFC 4034! !!4 
f (DNSSEC) 
签名 
一 台 给 定 主 机 的 代理 主 
RT 机 名 ,该 主机 并 不 总 是 处 于 21 试验 型 的 RFC 1183! 18 
连接 状态 的 
由 DNSSEC 内 的 RRSIG 
SIG 替换 ;由 SIG (0) 和 TKEY 24 建议 标准 RFC 2536[ 2 
使 用 
SOA 一 个 区 域 的 权威 信息 6 标准 RFC 1035129] 
发 送 者 策略 框架 ,使 一 个 
域 属 主 能 够 识别 这 样 的 、 RFC 44081021 | 
SPF Am 能 够 1 3 RENE 99 试验 型 的 
机 ,它们 被 授权 从 该 域 发 送 REC 4409! 133! 
电子 邮件 
在 一 个 域 中 提供 指定 服 
SRV 33 KEER IEE RFC 2782114] 
务 的 主机 aa ve 
安全 外 过 指纹 ,支持 使 用 
SSHFP DNSSEC 的 SSH 主机 密 钥 44 标准 跟踪 REC 4255! 135! 
验证 
14 E 
TXT 7 a eee 16 标准 RFC 10351 
意 文 本 
UID 用 户 ID 101 保留 IANA 保留 
UINFO 用 户 信 息 100 保留 IANA 保留 
UNSPEC 未 指定 的 103 保留 IANA 保留 
在 一 个 指定 IP 地 址 处 通 
过 一 个 给 定 协议 可 以 使 用 Z 
WKS 11 标准 35 199] 
的 服务 ,如今 更 普遍 地 用 于 ae 
一 台 主 机 的 SRV RR 
X25 X. 25 PSDN 19 试验 型 的 REC 1183!!! 
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本 章 ” 详细 讨论 DNS 服务 器 的 部 署 策略 和 折 中 考虑 因素 。 一 般 而 言 ， 相 比 
DHCP, DNS 服务 器 支持 更 加 面向 角色 的 部 署 ， 我 们 的 讨论 将 配置 与 特定 角色 
(外 部 解析 、 缓 存 、 内 部 使 用 等 ) 相关 联 。 当 然 ， 预 算 资金 和 更 加 靠近 端 用 户 的 
服务 器 数量 快速 增长 之 间 的 常见 折 中 考虑 ， 就 像 在 DHCP 一 样 ， 也 同样 适用 
于 DNS。 

和 DHCP 部 署 一 样 ，DNS 部 署 设 计 应 该 考虑 到 高 可 用 性 、 性 能 和 安全 。 为 了 分 割 
名 字 空 间 和 解析 的 职责 界限 ， 使 用 一 种 组 件 构造 块 方法 进行 DNS 服务 器 部 署 ， 能 
有 助 于 取得 这 些 通 用 目标 ， 在 本 章 通 篇 我 们 将 讨论 这 样 一 种 方法 。 要 牢记 的 是 ， 在 定 
义 一 个 “均码 ”型 架构 中 ， 不 存在 曲 奇 饼 成 型 刀 式 的 DNS 部 署 方法 。 但 是 ， 通 过 将 
基于 角色 的 服务 器 配置 定义 为 部 署 构造 块 ， 您 就 能 够 选择 哪些 是 适用 于 您 环境 的 规模 
和 政策 。 


11.1 通用 的 部 署 指导 原则 


要 牢记 在 心 的 一 些 通用 原则 包括 如 下 。 

1) 对 任何 给 定 区 域 或 区 域 集合 ， 部 署 一 台 主 权威 服务 器 和 至 少 两 台 从 属 权 威 服 
F tit 6 

2) 对 于 微软 Windows DNS 服务 器 部 署 方法 ， 为 每 个 域 部 署 多 个 域 控 制 器 。 

3) 为 了 做 到 站 点 多 样 化 的 高 可 用 性 ， 在 不 同 子 网 上 (理想 情况 下 ， 在 不 同位 
置 ) 部 署 权威 服务 器 。 

4) 为 了 得 到 较 佳 的 性 能 和 较 低 的 网 络 额外 负担 ， 在 “靠近 ”客户 端 /解析 器 处 
部 署 权 威 服务 器 。 对 于 外 部 的 服务 器 ， 在 靠近 因特网 连接 处 部 署 ， 对 于 内 部 服务 器 ， 
在 较 接 近 较 高 密度 雇员 区 域 部 署 。 

5) 为 主 服务 器 考虑 部 署 一 种 元 余 的 硬件 解决 方案 。 

6) 为 处 理 外 部 查询 和 内 部 查询 ， 应 该 部 署 独立 的 DNS 服务 器 。 就 外 部 查询 而 
言 ， 我 们 指 来 自 组 织 机 构 外 部 (例如 因特网 ) 的 那些 查询 。 内 部 查询 是 指 来 自 组织 
机 构 内 部 的 那些 查询 。 

7) 考虑 独立 的 服务 器 ， 它 们 负责 解析 这 样 的 权威 数据 ， 这 些 数 据 来 自 于 负责 解 
析 递 归 查 询 的 那些 服务 器 〈 代 表 桩 解析 器 ) 。 


”本 章 的 多 数 内 容 依 据 的 是 与 Alex Dresher!!! 的 谈话 和 他 的 私人 文档 。 
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11.2 通用 的 部 署 构造 块 


本 节 以 组 成 构造 块 的 方式 提供 了 常见 DNS 部 署 场景 的 一 个 概述 。 依 据 一 个 查询 
来 源 (查询 源 ) 和 被 查询 信息 的 范围 (查询 范围 )， 我 们 将 这 些 构造 块 分 解 成 四 个 大 
类 。 我 们 按照 上 述 定义 查询 源 ， 外 部 查询 来 自 于 公开 因特网 ， 而 内 部 查询 来 源 于 组 织 
机 构 内 部 。 查 询 范 围 通常 遵循 这 种 通用 分 解 方法 ， 即 外 部 范围 处 理 因特网 可 达 的 解析 
数据 ， 内 部 范围 包括 组 织 结构 内 的 解析 信息 。 下 表 小 结 了 这 种 分 类 ， 使 用 的 恰恰 仅 是 
原始 分 类 名 。 


查询 范围 
查询 源 
外 部 内 部 
外 部 外 部 -外 部 外 部 -内 部 
内 部 内 部 -外 部 内 部 -内 部 


男 外 ,我们 将 讨论 一 些 非 角 色 特 定 的 场景 ， 可 适用 于 任何 构造 块 场景 。 这 些 可 适 
用 于 一 个 分 类 或 多 个 分 类 ， 原因 是 它 提供 了 特殊 的 解析 或 可 用 性 特征 。 

下 面 给 出 分 类 的 构造 块 场景 的 概述 。 

(1) 外 部 -外 部 分 类 。 这 个 分 类 是 由 这 样 一 个 DNS 部 署 组 成 的 ， 其 中 要 解析 源 于 
因特网 的 查询 ， 即 要 查询 您 所 在 机 构 的 公开 (外部) 解析 信息 。 如 果 您 有 一 条 因 特 
网 连接 ， 用 于 一 个 网 站 、 电 子 邮件 或 其 他 公众 可 用 的 因特网 应 用 ， 则 在 您 的 部 署 策 略 
中 就 必须 要 处 理 这 个 分 类 。 

1) 外 部 DNS 服务 器 部 署 。 这 个 构造 块 场景 寻求 为 外 部 客户 端 提供 鲁 棒 的 名 字 解 
析 功 能 ， 这 些 客 户 端正 在 查找 该 组 织 机 构 的 公开 资源 〈 例 如 web 服务 器 、 电 子 邮件 
服务 器 等 类 似 资 源 ) 的 合法 名 字 解 析 ， 同 时 要 最 小 化 对 如 下 客户 端的 暴露 程度 ， 这 
些 客 户 端 寻 求 攻 击 DNS 基础 设施 或 出 于 攻击 目的 而 渗透 到 这 些 资 源 。 外 部 DNS 服务 
器 的 部 署 具有 这 样 的 特征 ， 即 一 个 隐藏 的 主 服务 器 带 有 许多 从 属 服务 需 。 正 如 我 们 将 
看 到 的 ， 这 些 服 务 器 应 该 永远 不 会 为 一 个 解析 器 所 直接 查询 ; 仪 由 递归 名 字 服 务 器 代 
表 解 析 器 进行 解析 。 

(2) 外 部 -内 部 分 类 。 这 个 分 类 包括 这 样 的 查询 ， 来 自 组 织 机 构 外 部 ， 寻 找 内 部 
主机 和 资源 的 解析 。 除 了 为 合作 方 提 供 “ 内 部 ”解析 信息 的 一 个 子 集 存 取 能 力 外 ， 
一 般 而 言 ， 应 该 禁用 这 个 分 类 。 这 个 分 类 的 DNS 服务 器 部 署 (用 于 合作 方 存 取 ) 应 
该 模仿 外 部 -外 部 分 类 下 的 外 部 DNS 场景 ,但 也 许 部 署 为 一 个 并 行 的 依据 合作 方 不 同 
的 实现 方法 会 更 好 。 

(3) 内 部 -外 部 分 类 。 这 个 分 类 组 成 是 ， 处 理 内 部 查询 ， 它 们 请 求 因特网 资源 
解析 。 

1) 因特网 缓存 DNS 服务 器 。 因 特 网 缓存 服务 器 是 内 部 DNS 服务 器 ， 它 们 缓存 因 
特 网 解析 ， 由 内 部 DNS 服务 器 (代表 的 是 内 部 解析 絮 ) 所 用 。 绥 存 服务 器 可 被 部 署 
为 内 部 解析 DNS 服务 器 的 一 项 功能 或 独立 于 内 部 解析 DNS 服务 器 。 在 前 一 种 情形 中 ， 
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内 部 名 字 空 间 的 权威 服务 器 简单 地 将 从 因特网 根 服务 器 到 域 树 的 查询 加 速 ， 以 便 解 析 
查询 ， 构 造 起 被 解析 数据 的 一 个 缓存 。 后 一 种 情形 ， 使 用 独立 的 缓存 服务 器 ， 支 持 其 
他 内 部 解析 DNS 服务 器 配置 成 如 下 功能 ， 即 汇聚 对 外 部 数据 的 查询 ， 通 过 这 些 缓存 
服务 器 实施 解析 。 这 样 做 的 话 ， 就 支持 对 哪些 服务 器 实施 外 部 查询 具有 更 多 控制 ， 而 
同时 使 这 些 服 务 带 能 够 随时 间 推 移 构 造 起 一 个 内 容 充 实 的 缓存 。 

(4) 内 部 -内 部 缓存 。 这 个 分 类 处 理 从 内 部 发 出 的 查询 ， 这 些 查询 要 的 是 内 部 解 
析 信 息 。 

1) 内 部 解析 DNS 服务 器 。 要 求 DNS 服务 器 解析 来 自 内 部 主机 对 内 部 目的 地 的 
查询 。 这 些 DNS 服务 器 配置 带 有 内 部 名 字 空 间 的 权威 信息 。 任 何 因特网 或 不 可 解析 
的 主机 查询 均 可 被 汇聚 到 缓存 ( 内 部 -外 部 ) 服务 器 。 和 外 部 主 DNS 服务 器 一 样 ， 出 
于 增强 安全 和 信息 完整 性 的 考虑 ， 内 部 主 DNS 服务 器 应 该 是 “隐藏 的 ”。 

2) 部 门 级 的 DNS 服务 器 。 对 于 较 大 型 的 组 织 机构 而 言 ， 一 些 商 务 部 门 或 实体 会 
希望 在 组 织 机 构 的 名 字 空 间 内 运行 他 们 自己 的 名 字 子 空间 。 这 个 场景 的 特征 是 在 内 部 
委派 名 字 空 间 ， 但 以 男 一 种 方式 却 是 内 部 解析 DNS 服务 器 情形 的 一 个 复制 ， 但 也 仅 
是 内 部 名 字 空 间 的 一 个 子 集 而 已 。 

3) 内 部 根 服务 器 。 内 部 根 服务 器 可 被 配置 为 内 部 名 字 空 间 的 权威 根 ， 用 于 内 部 
查询 的 解析 。 

(5) 通用 交叉 角色 部 署 配置 。 这 个 分 类 可 应 用 于 多 种 部 署 场景 。 

1) 秘密 的 从 属 DNS 服务 器 。 虽 然 在 外 部 和 内 部 部 署 场景 中 讨论 了 隐藏 的 主 部 署 
情形 ,但 还 有 男 一 种 “隐藏 的 ”方法 是 隐藏 从 属 服务 器 。 一 般 而 言 ， 对 于 来 自 解 析 
器 以 及 其 他 名 字 服 务 器 的 直接 查询 ， 各 主 服 务 需 是 隐藏 的 ;隐藏 的 从 属 服务 需 可 用 于 
解析 器 的 名 字 解 析 ， 但 对 于 来 自 其 他 名 字 服 务 器 的 请 求 迁 代 查询 而 言 ， 却 是 隐藏 的 。 

2) 分 割 视图 DNS 服务 器 。 一 个 域 多 个 “版 本 ”的 部 署 方法 ， 对 于 限制 对 特权 的 
名 字 解 析 信息 的 存 取 而 言 ， 这 种 方法 是 有 用 的 。BIND 9 的 视图 特征 功能 ,支持 一 个 
域 的 多 个 视图 或 版 本 的 部 署 。 微 软 DNS 目前 不 支持 视图 特征 功能 。 

3) 任意 播 服务 器 。 任 意 播 地 址 支持 将 单一 卫 地 址 指派 到 多 台 DNS 服务 器 。 这 
种 做 法 支持 使 用 一 个 共同 的 IP 地 址 ， 将 请 求 发 送 到 该 下 地址， 目的 是 增强 的 性 能 和 
可 用 性 。 在 网 络 中 所 用 的 路 由 协议 实施 这 样 的 路 由 操作 ， 即 路 由 到 带 有 任意 播 卫 地 
址 的 最 近 距 离 的 服务 器 。 

依据 您 所 在 组 织 机 构 的 规模 (和 预算 ) ， 您 可 选择 部 署 一 组 DNS 服务 器 的 外 部 -外 
集合 和 一 个 内 部 -内 部 集合 。 这 是 最 小 的 部 署 配置 ， 但 许多 组 织 机 构 也 部 署 专用 的 内 
-外 部 服务 器 。 更 大 型 的 或 更 复杂 的 部 署 方法 可 利用 其 他 分 类 的 组 成 单元 。 这 种 构造 
块 方法 的 优势 是 简单 性 和 模块 化 ， 使 依据 您 的 环境 进行 选择 部 署 的 场景 成 为 可 能 。 


ok ok 


11.3 外 部 -外 部 分 类 


这 个 分 类 与 这 样 的 部 署 有 关 ， 即 对 来 自 外 部 源 的 查询 做 出 响应 ， 这 些 查询 需要 的 
是 该 组 织 机构 的 公开 解析 信息 。 
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11.3.1 外 部 DNS 服务 器 


同样 , “外 部 ” 指 服务 从 组 织 机 构 之 外 或 外 部 ( 即 因特网 ) 的 DNS 查询。 必须 
为 访问 组 织 机 构 的 网 站 、 电 子 邮 件 和 其 他 应 用 而 提供 解析 服务 ， 但 在 服务 外 部 客户 端 
中 考虑 到 外 部 服务 器 的 内 在 暴露 程度 和 潜在 脆弱 性 ， 为 了 保障 这 些 外 部 服务 器 的 信息 
完整 性 ， 必 须 谨 慎 从 事 。 建 议 的 方法 是 为 服务 外 部 请 求 ， 部 署 两 台 或 多 台 从 属 DNS 
服务 器 ， 并 为 这 些 服务 器 配置 IPv4 和 IPv6 地 址 。 这 些 从 属 服务 器 也 许 直 接 就 部 署 在 
暴露 于 因特网 的 一 个 外 部 子 网 上 ， 或 位 于 一 个 DMZ 内 一 人 个“ 一线” 防火 墙 之 后 ， 如 
图 11-1 所 示 。 


DMZ 
DNS 从 属 服务 器 
外 部 名 字 空 间 


192.0.2.34 
2001:db8:4af0:2010::a 
~~ 


隐藏 的 主 服务 器 
外 部 名 字 空 间 


172.16.0.5 


图 11-1 外 部 DNS 构造 块 范例 
我 们 将 每 台 DNS 服务 器 配置 成 双 栈 (IPv4 和 IPv6)， 以 便 支持 通过 任 一 协议 的 可 


达 性 。 我 们 将 每 台 外 部 DNS 服务 器 放置 在 其 自己 的 子 网 上 ,原因 是 我 们 为 外 部 主机 
(例如 这 些 DNS 服务 器 ) 对 我 们 的 192. 0. 2.0/24 进行 分 制 。 在 这 种 情形 中 ， 我 们 形 
象 地 说 明 三 个 /29 子 网 这 些 服务 器 部 署 在 这 些 子 网 上 : 192.0.2.32/29、 
192. 0. 2. 40/29 FI 192. 0. 2. 48/29, 我 们 从 三 个 /64 子 网 分 配 了 三 个 IP 地址 ， 这 些 子 
网 是 从 我 们 的 2001: DB8: 4AF0: 2000:: /56“ 外 部 ”IPv6 分 配 中 推算 得 到 的 。 

图 11-1 形象 地 说 明了 一 台 隐 藏 的 主 DNS 服务 器 ， 它 部 署 在 一 个 DMZ 内 部 防火 墙 
之 后 ,不 应 由 外 部 客户 端 直 接 查 询 。 因 为 这 台 主 服务 器 维护 着 “ 主 配 置 "， 从 属 服务 
器 从 这 里 得 到 配置 信息 ， 所 以 必须 保障 ant) 其 信息 的 完整 性 。 出 于 这 个 原 
因 ， 这 人 台 主 DNS 服务 器 应 该 配置 为 隐藏 的 ， 这 意味 着 它 不 能 由 查询 其 他 DNS 服务 器 
的 方法 进行 识别 。 隐 藏 主 DNS BERKS, 降低 了 一 名 攻击 者 识别 该 主 服务 器 的 
风险 ， 因 为 识别 服务 器 之 后 ， 攻 击 者 会 尝试 渗透 其 配置 信息 。 想 象 下 这 样 的 可 能 影 
响 和 乾 碎 境地 ， 即 如 果 一 名 攻击 者 将 您 的 www 记录 更 改 为 一 个 不 正当 的 网 站 。 隐 
一 台 主 名 字 服 务 器 的 机 制 包括 : 在 这 个 域 的 区 域 文 件 和 父 区 域 文件 中 去 除 该 服务 器 锯 
NS 和 黏 结 记 录 ， 并 在 每 个 区 域 db 文件 中 修改 SOA 记录 的 主 服务 器 名 字 (“mname” 
字段 。 一 般 而 言 ， 面 向 外 部 的 区 域 都 是 静态 区 域 ， 是 没有 动态 更 新 的 ， 所 以 在 这 样 尼 
情形 中 可 安全 地 实施 mname 字段 修改 。 


= 


Ww 


EEIE 


(in 


第 11 章 DNS 服务 器 部 署 策 191 


确保 配置 在 您 所 在 父 域 中 的 NS ANBAR, BEST Shab Ws DNS 服务 器 ， 而 不 
是 主 服务 咒 。 这 应 该 通过 您 的 ISP 或 域 注册 机 构 来 安排 组 织 。 对 于 上 图 中 的 例子 ,多 
应 该 向 您 的 父 〈 例 如 ISP) 域 管理 员 提 供 如 下 NS/ 黏 结 记 录 信 息 : 

ipamworldwide. com. 86400 IN NS extdnsl. ipamworldwide. com. 


ipamworldwide. com. 86400 IN NS extdns2. ipamworldwide. com. 
ipamworldwide. com. 86400 IN NS extdns3. ipamworldwide. com. 
extdnsl. ipamworldwide. com. 86400 IN A 192. 0. 2. 34 

86400 IN AAAA 2001; db8: 4af0; 2010:: a 
extdns2. ipamworldwide. com. 86400 IN A 192. 0. 2. 42 

86400 IN AAAA 2001: db8: 4af0; 2011:; 11 
extdns3. ipamworldwide. com. 86400 IN A 192. 0. 2. 50 

86400 IN AAAA 2001: db8: 4af0: 2006:: 9 
注意 ， 外 部 DNS 服务 器 应 该 部 署 在 不 同 子 网 和 不 同 ISP 连接 上 (如 果 可 用 的 
话 ) ， 或 使 您 的 ISP 也 代表 您 运行 一 台 从 属 服务 器 。 我 们 可 在 我 们 的 ISP 连接 防火 墙 
上 限制 DNS 查询 ， 如 表 11-1 和 表 11-2 中 的 范例 所 示 。 th Pi BLE Ie. 我 们 也 将 我 
们 的 三 个 /29 子 网 的 规则 合并 成 单一 /27 网 络 。 就 防火 墙 配置 而 言 ， 这 些 是 简单 的 指 
导 原 则 ; 您 的 策略 可 能 是 更 加 严格 的 。 在 BIND 或 Windows DNS 中 的 类 似 allow- * 选 
项 设置 (例如 allow-query (人 允许 -查询 ) ) ， 可 定义 为 针对 每 台 服务 器 的 访问 控制 列表 
(ACL) 以 及 我 们 将 在 本 章 后 面 说 明 的 那些 方法 。 
正如 刚刚 提 到 的 ， 为 了 最 大 化 可 用 性 ， 如 果 可 能 的 话 ， 这 些 服务 器 应 该 部 署 在 多 
个 位 置 。 如 果 您 有 因特网 双 连 接 ， 则 建议 以 一 种 类 似 配置 在 每 个 连接 点 处 或 附近 部 署 
外 部 从 属 服务 器 。 图 11-2 形象 地 说 明了 一 个 多 六 连接 的 外 部 DNS 配置 。 在 这 种 配置 
中 ，IPAM 全 球 公司 的 外 部 DNS 服务 器 可 通过 ISP、 多 条 物理 链 路 以 及 DMZ 内 部 的 不 
同 子 网 均 可 访问 到 。 


表 11-1 DNS 消息 的 外 侧 防 火 墙 规则 例 


消息 和 方向 控制 源 地 址 源 端 口 目的 地 地 址 目的 地 端口 
来 自 因 特 网 、 192. 0. 2. 32/27, 2001: 
All g Any( 任意 1023 53 
的 DNS 查询 ow( 允许 ) | Any EE) db8 :4af0 :2000/56 
对 DNS 查询 192. 0. 2. 32/27 , 2001: 
et Allow 53 Any > 1023 
的 响应 db8 :4af0 :2000/56 
所 有 其 他 
— 有 他 Deny( 拒 绝 ) Any Any Any Any 
青 形 


表 11-2 DNS 消息 的 内 侧 防 火 墙 规则 例 


消息 和 方向 控制 源 地 址 源 端 口 目的 地 地 址 的 地 端口 
由 从 属 服务 
器 到 主 服务 器 
的 查询 (例如 刷 Allow 192. 0. 2. 32/27 > 1023 172. 16.0.5 53 


新 查询 ) 
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( 续 ) 
消息 和 方向 控制 源 地 址 源 端 口 目的 地 地 址 目的 地 端 
从 主 服务 器 
到 从 属 服务 器 Allow 172. 16.0.5 53,1053 192. 0. 2. 32/27 > 1023 
的 响应 
所 有 其 他 情形 Deny Any Any Any Any 
DMZA 
DNS 从 属 服 务 器 
192. 
2001 :db8:4ai 
外 侧 
防火 墙 
DNS 从 属 服 务 器 
外 部 名 字 空 间 
1920.234 
2001:db8:4af0:2010::a 
~ 
隐藏 的 主 服 务 器 
外 部 名 字 空 间 
Bi 192.0.2.50 
i 2001:db8:4af0:2006::9 
~ Nee 
172.16.0.5 


图 11-2 在 一 个 多 六 连接 场景 中 的 外 部 DNS 


注意 到 这 些 附 加 的 建议 ， 也 将 有 助 于 维护 外 部 DNS 服务 器 以 及 它们 所 解析 信息 


的 安全 。 


(1) 在 一 个 chroot 的 监狱 式 法 中 允许 DNS。 这 降低 了 服务 器 平台 及 有 关 服 务 的 暴 
露 程度 ， 可 为 其 他 攻击 目标 提供 一 个 垫 脚 石 ， 方 法 是 将 文件 系统 存 取 限 制 到 一 个 有 限 
的 功能 集合 ， 而 不 是 拥有 对 服务 器 上 完全 的 根 访问 权限 。 这 个 “改变 根 权 限 ” 或 
chroot 配置 运行 在 某 个 名 字 的 一 个 指定 子 目录 下 ， 而 不 是 根 目录 。 如 果 一 名 攻击 者 得 
到 某 个 名 字 子 目录 的 存 取 权限 ， 他 们 将 仅 得 到 chroot 后 目录 的 存 取 权限 ， 而 不 是 根 目 
录 权 限 ， 在 根 目 录 权 限 下 可 存 取 所 有 的 文件 系统 资源 。 多 数 工具 性 产品 都 预先 配置 ， 
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在 一 个 目录 系统 “jail”( 监狱 ) 中 允许 DNS, 

(2) 跟踪 使 用 BIND 或 微软 DNS 软件 的 最 新 版 本 ， 并 订阅 在 isc. org 或 Windows 
update (更 新 ) 的 bind-announce ( 绑 定 公告 ) 电子 邮件 列表 。 一旦 检测 到 安全 弱点 ， 
就 发 送 电子 邮件 通知 ， 并 人 带 有 关联 的 补救 步 又 和 补丁 。 另 外 ， 监 测 针 对 平台 所 报告 的 
操作 系统 弱点 ， 这 是 因为 您 在 这 些 平 台 上 运行 着 DNS, 

(3) 必须 禁止 递归 查询 。 这 将 使 这 些 服务 器 仅 处 理 授 代 查 询 ， 即 来 自 其 他 DNS 
的 查询 ， 而 不 是 解析 器 的 查询 。 这 些 服 务 器 一 定 不 要 代表 任何 人 实施 DNS 查询 。 这 
就 降低 了 支持 递归 查询 的 处 理 负载 ， 更 重要 的 是 ， 降 低 了 针对 这 些 服务 器 的 缓存 毒化 
或 拒绝 服务 攻击 。 

(4) 在 区 域 传 递 上 配置 访问 控制 列表 ， 如 我 们 将 在 下 面 说 明 的 情形 。 

(5) 如 果 有 可 能 ， 就 禁止 针对 这 些 外 部 区 域 的 动态 更 新 和 通知 。 如 果 外 部 名 字 
空间 数据 变化 频繁 ， 并 要 求 动 态 更 新 的 话 ， 那 么 要 限制 主 服务 器 及 其 从 属 服务 器 之 间 
的 更 新 和 通知 消息 。 

(6) 为 主 服务 器 和 从 属 服务 器 之 间 的 区 域 传递 和 更 新 实施 签名 ， 而 配置 事务 签 
Z (TSIG) 密 钥 ， 如 我 们 将 在 下 面 说 明 的 情形 。 这 提供 了 数据 源 发 者 认证 功能 。 

(7) 如 果 需 要 通知 ， 则 在 主 服务 器 上 配置 端口 号 ， 在 该 端口 号 上 要 向 从 属 服务 
器 发 送 通知 消息 。 这 就 要 求 在 内 部 防火 墙 上 指定 相应 的 端口 。 

(8) 在 从 属 服务 器 上 配置 端口 号 ， 要 在 该 端口 上 从 主 服务 器 得 到 区 域 传 递 。 这 
就 要 求 在 内 部 防火 墙 上 指定 相应 的 端口 。 

(9) 通过 配置 侦 听 地 址 /端口 、 允 许 来 源 和 密 钥 语 句 ， 保 障 mde 控制 信道 的 安 
全 。 您 可 能 甚至 想 在 这 些 服务 器 上 禁止 rde, 

(10) 将 版 本 选项 设置 为 一 个 伪造 的 设置 。 没 有 必要 告知 您 正在 运行 的 BIND 的 
版 本 ， 因 为 这 会 为 攻击 者 提供 有 关 如 何 最 佳 攻 击 服务 器 的 信息 ， 特 别 当 您 没有 保持 使 
用 较 新 的 发 行 版 软件 时 更 是 如 此 。 


11.4 外 部 -内 部 分 类 


这 个 分 类 组 成 情况 是 ， 外 部 主机 查询 有 关内 部 ( 非 公 开 ) 解析 信息 的 信息 。 一 
般 而 言 ， 汇 漏 有 关内 部 主机 的 信息 是 人 们 所 不 希望 的 ， 并 是 一 项 潜在 的 安全 风险 。 即 
使 相互 连接 的 合作 方 仅 应 该 访问 受到 保护 的 信息 ( 当然 不 是 整个 的 内 部 名 字 空 间 ) 
时 也 是 如 此 。 


11.4.1 外 部 网 DNS 服务 器 部 署 


合作 方 间 的 连接 ， 典 型 情况 下 ,被 配置 为 因特网 之 上 的 虚拟 专 网 (VPN) 连接 或 
一 个 专 网 ， 典 型 地 涉及 合作 方 空间 和 内 部 网 络 之 间 的 一 个 “合作 方 DMZ” 或 防火 墙 。 
如 图 11-3 所 示 ， 这 个 分 类 的 DNS 部 署 架构 镜像 了 外 部 -外 部 分 类 的 情况 ， 但 解析 数据 
配置 是 多 少 有 些 不 同 的 。 取 决 于 哪些 解析 数据 可 透露 给 一 个 给 定 的 合作 方 ， 由 合作 方 
客户 端 查询 的 DNS 服务 器 必须 依据 这 种 数据 进行 配置 。 因 此 按照 外 部 DNS 场景 ,不 
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支持 递归 的 隐藏 主 服务 器 和 可 见 从 属 服务 右 的 概念 是 适用 于 这 种 分 类 的 。 

合作 方 特定 的 解析 信息 可 被 定义 为 一 个 “外 部 网 ”名 字 空 间 ， 其 中 包含 配置 于 
这 些 DNS 服务 器 上 的 相应 区 域 文件 。 男 外 ， 如 果 多 个 合作 方 存 取 访 问 一 个 共同 的 
DNS 服务 器 ， 服 务 合 作 方 链 路 的 DNS 服务 右上 的 实现 视图 ， 可 支持 每 个 合作 方 的 解 
析 人 信息。 我 们 稍 后 将 讨论 DNS 视图 配置 ,但 它们 允许 DNS 服务 器 回答 “ 谁 在 问 ” 式 
的 查询 ， 例 如 合作 方 A 的 地 主机 名 与 合作 方 B 的 fp 主机 名 这 两 者 的 解析 可 能 是 不 
同 的 。 

每 个 合作 方 的 DNS 解析 过 程 应 该 被 配置 为 可 到 达 这 些 DNS 服务 器 ， 以 便 解 析 您 
希望 透露 有 关 您 所 在 网 络 的 信息 。 我 们 将 从 内 部 -外 部 分 类 一 节 中 的 互补 视角 ， 配 置 
我 们 的 服务 器 来 解析 我 们 的 合作 方 解 析 数 据 所 需 的 信息 。 


合作 方 DMZ 
DNS 从 属 服务 器 
外 网 名 字 空 间 


172 201992 
w 


隐藏 的 主 服务 器 
外 网 名 字 空 间 


外 侧 
防火 墙 
172.20.0.5 


图 11-3 外 部 网 DNS 部 署 


11.5 内 部 -内 部 分 类 


11.5.1 内 部 解析 DNS 服务 器 


我 们 将 回顾 为 内 部 解析 部 署 DNS 服务 器 的 各 种 配置 ， 包 括 各 种 主 / 从 服务 器 配 
置 、 缓 存 服务 器 、 外 部 网 存 取 服 务 器 和 内 部 根 服务 器 。 

内 部 DNS 服务 器 。 应 该 部 署 内 部 DNS 服务 器 ， 解 析 来 自 内 部 客户 端 对 内 部 主机 
言 息 的 查询 。 我 们 可 称 它们 为 内 部 TLD， 即 “顶层 域 *"， 原 因 是 它们 将 是 内 部 名 字 空 
间 的 顶层 主 服务 器 (例如 ipamworldwide. com) ， 并 可 将 子 域 委派 给 其 他 内 部 DNS 服务 
器 ， 我 们 将 在 后 面 描述 。 内 部 主 DNS 服务 器 可 被 部 署 为 一 台 隐 藏 主 服务 器 。 一 般 来 
说 ， 通 过 隐藏 主 服务 器 而 控制 主 服务 器 的 信息 完整 性 ， 是 一 个 好 想法 ， 原 因 是 内 部 发 
起 的 攻击 占据 网 络 安全 泄漏 事件 的 绝 大 部 分 。 

部 署 足够 数量 的 从 属 服务 器 ( 当然 它们 也 是 其 相应 区 域 信息 的 权威 ) ， 可 支持 客 
户 端 查询 的 解析 ， 同 时 务 载 主 服 务 器 ， 使 它们 仅 处 理 配 置 更 新 。 如 果 一 台 主 DNS 服 
务 器 失效 ， 从 属 服务 器 将 继续 解析 查询 ， 但 一 次 长 时 间 的 中 断 可 能 破坏 从 属 服务 器 区 


第 11 章 DNS 服务 器 部 署 策略 


195 


域 数 据 的 有 效 性 ， 当 然 就 破坏 了 区 域 数据 的 及 时 性 。 从 属 服务 器 将 继续 支持 这 个 区 域 
数据 ， 直 到 超过 超时 时 间 (expire time) 为 止 ， 在 此 时 间 之 后 ， 该 服务 器 将 不 再 认为 


它 自 己 是 该 区 域 的 权威 。 如 果 主 服务 器 下 线 ， 动 态 更 新 也 就 不 可 能 


当 和 尝试 隐藏 一 人 台 主 DNS 服务 器 时 ， 这 是 客户 端 驱动 的 动态 更 新 功能 
端 环 境 ， 需 要 考虑 的 一 个 重要 因素 是 ， 微 软 客户 端 依赖 于 MNAME 字段 来 识别 要 更 新 
的 主 服务 器 。 在 这 种 情形 中 ， 使 用 BIND DNS 服务 器 ， 您 仍然 能 够 隐藏 主 服 务 器 ， 方 


的 微软 客户 


法 是 将 MNAME 字段 更 改 为 指向 一 台 合 法 的 从 属 服务 器 ， 并 配置 alow-update-forward- 


ing 选项 ， 将 更 新 转发 到 主 服 务 器 。 一 般 来 说 ， 我 们 建议 ， 使 客户 端 不 能 直接 更 新 


DNS， 而 倾向 于 使 您 的 DHCP 服务 器 实施 这 项 功能 。 能 够 更 新 DNS 的 实体 越 少 ， 则 可 
配置 的 访问 安全 就 越 严格 ， 将 能 够 影响 DNS 数据 完整 性 的 更 新 源 种 类 就 越 少 。 


向 笔记 本 计算 机 、 人 台式 机 、 打 印 机 、VoIP 电话 以 及 其 他 IP 设备 提供 


动态 寻 址 功 


能 ， 一 般 而 言 ， 使 用 DHCP 服务 需 无 论 如 何 都 是 必要 的 。 考 虑 到 这 些 设备 中 的 多 数 
(如 果 不 是 所 有 的 话 ) 设备 类 型 将 要 求 在 DNS 中 有 对 应 于 其 相应 指派 地 址 的 表 项 ， 我 


们 就 需要 允许 来 自我 们 的 DHCP 服务 器 的 DNS 更 新 操作 。 因 为 我 们 有 一 


台 隐 藏 的 服 


务 器 ， 所 以 我 们 能 够 配置 DHCP 服务 器 来 更 新 一 台 从 属 DNS 服务 器 。 这 人 台 服 务 器 可 
采用 硬件 元 余 的 方法 进行 部 署 ， 以 便 最 小 化 任何 中 断 服务 时 间 ， 在 这 种 情形 中 ，DNS 


不 能 为 DHCP 服务 需 实 施 更 新 。 

图 11-4 给 出 一 个 范例 ， 其 中 为 我 们 的 内 部 
ipamworldwide. com 名 字 空 间 部 团 了 四 人 台 服 务 占 。 
如 在 结构 概述 中 所 描述 的 情形 ， 内 部 客户 端 解析 
器 应 该 至 少 配置 有 两 台 DNS 服务 器 。 为 了 均衡 查 
询 负 载 ， 可 在 分 支 办 事 处 或 远 端 站 点 部 署 任何 数 
量 的 附加 从 属 服务 器 。 


11.5.2 内 部 委派 DNS 主 / 从 服务 器 


在 较 大 型 的 组 织 机 构 中 ， 子 域 可 被 委派 到 特 
定 的 部 门 或 分 部 。 继 续 我 们 的 范例 ， 我 们 创建 一 


172.16.30.5 


172.16.40.5 


172.16.50.5 
个 finance. ipamworldwide. com 域 ， 作 为 非 委 派 的 。 ipamworldwide.com 区 域 


这 意味 着 ， 与 finance. ipamworldwide. com 域 关联 的 


LR 


11-4 用 于 内 部 客户 端的 


配置 和 资源 记录 ,被 包括 在 其 父 区 域 文件 中 48 DNS Hit #8 


(ipamworldwide. com) 。 


对 于 其 他 部 门 ， 独 立 的 DNS 管理 员 可 能 希望 管理 他 们 自己 的 域 信息 。 让 我 们 考 
虑 一 个 例子 。 如 果 工 程 部 希望 为 eng. ipamworldwide. com 域 运 行 DNS， 则 管理 内 部 顶 
层 域 ipamworldwide. com (Bl eng. ipamworldwide. com 的 父 域 ) 的 团队 可 分 配 一 个 新 的 
委派 域 ( 即 区 域 ) 。 这 个 新 区 域 的 权威 DNS 服务 器 的 NS 和 黏 结 记录 ， 需 要 在 权威 服 
务 器 自身 和 父 区 域 ipamworldwide. com 的 那些 权威 服务 器 上 进行 配置 。 从 技术 角度 而 


A, eng. ipamworldwide. com 区 域 (而 不 是 其 父 区 域 ) 是 这 些 NS (和 黏 结 


) 记录 的 权 


威 ， 但 父 区 域 必 须 配 置 这些 记 录 ， 以 便 提 供 沿 域 树 向 下 的 索引 指示 (referral) 。 
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类 似 地 ， 相 关联 的 反 向 域 (可 能 是 多 个 ) 可 
在 工程 部 门 进行 维护 。 让 我 们 假定 ， 它 们 从 组 织 
机 构 的 私有 空间 分 配 了 地 址 空间 172. 20. 0. 0/15。 
注意 这 个 空间 没有 落 在 字 节 边界 上 。 因 此 ， 将 要 eee 
k AARE R, 为 172.20.0.0/15 由 
172. 20. 0. 0/16 和 172. 21.0.0/16 地 址 空间 组 成 ， 
那么 我 们 将 创建 两 个 基于 字 节 边界 的 反 疝 域 . 
20. 172. in-addr. arpa 和 21. 172. in-addr. arpa, 

图 11-5 所 示 为 服务 器 部 署 范例 。 正 如 您 看 到 Pee ee 
的 ， 它 看 起 来 极 像 带 有 一 台 主 服务 器 和 几 台 从 属 C aieas OOOO 
服务 器 的 内 部 TLD DNS 服务 器 部 署 情 形 。 这 是 基 eng.ipamworldwide.com 区 域 


20.172.in-addr.arpa 区 域 


于 BIND 的 权威 DNS 服务 器 的 常见 部 署 配 置 。 21.172.in-addr.arpa 区域 
11.5.3 内 部 根 服务 器 图 11-5 内 部 名 字 空 间 委派 


到 此 为 止 所 描述 的 每 台 内 部 DNS 服务 器 配 
置 ， 都 声明 根 (. ) 区 域 作 为 类 型 提示 线索 ， 指 向 root-hints. txt 文件 。 到 此 时 ， 我 们 
假定 这 个 文件 包含 因特网 根 服务 器 NS 和 A/AAAA 记录 ， 支 持 针 对 外 部 信息 解析 的 域 
树 规模 扩展 。 在 访问 受 限 、 被 禁止 或 其 他 通常 情况 下 因特网 不 可 用 的 环境 中 ， 可 部 署 
一 组 内 部 根 服务 器 ， 来 权威 地 解析 本 地 递归 服务 器 不 能 解析 的 查询 ， 或 更 可 能 的 情况 
是 ， 指 引 这 些 查询 到 可 能 获得 解析 的 位 置 。 

这 些 内 部 根 服务 器 实际 上 在 组 织 机 构 的 其 他 服务 器 的 hints (提示 线索 ) 文件 中 ， 
替换 了 因特网 根 服务 器 。 换 句 话说 ， 即 这 些 内 部 根 服务 器 ， 是 内 部 客户 端 索要 名 字 解 
析 的 最 终 权 威 和 最 后 机 会 。 因 此 ， 这 个 配置 消除 了 对 因特网 名 字 服 务 器 的 依赖 ， 但 却 
将 解析 限制 在 根 服务 器 及 其 委派 域 服务 器 内 所 包含 的 信息 上 。 

在 这 种 配置 中 ， 我 们 使 用 上 面 针 对 我 们 的 内 部 DNS 服务 器 所 定义 的 相同 配置 文 
件 。 但 我 们 需要 使 用 一 组 内 部 根 服务 器 ， 而 不 是 标准 的 因特网 根 服务 器 ， 来 定义 提示 
线索 文件 (在 我 们 的 情形 中 是 root-hints. txt) 。 提 示 线 索 文 件 仅 包 含 根 服务 器 的 NS 和 
黏 结 记 录 。 如 果 我 们 使 用 有 三 台 根 服务 器 的 一 个 简单 范例 ， 则 我 们 所 参考 ( refer- 
enced) 的 提示 线索 文件 也 许 看 来 像 


N NS rootl. ipamworldwide. com. 

N A172. 16.1.1 

N AAAA 2001; db8: 4af0: fl:: 1 

N NS root2. ipamworldwide. com. 

N A 172. 18. 1. 34 

N AAAA 2001: db8: 4af0: a:: 1 

N NS root3. ipamworldwide. com. 

N A 10. 251. 0. 5 

N AAAA 2001; db8: 4af0; c001:: 1 


rootl. ipamworldwide. com. 


root2. ipamworldwide. com. 


root3. ipamworldwide. com 


SSeS Se Se Se Se se es eS 
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在 每 台 根 服务 器 上 的 配置 文件 也 许 看 来 像 下 面 的 情形 : 

aclinternal-nets | 10. 0. 0.0/8; 172. 16. 0. 0/12 ;2001 :db8 :4af0::/48; |; 

options | 
recursion no; // iterative queries only ( {X X Fie (ATi) 
allow- query | internal-nets; | ; // allow from internal nets( 允许 查询 来 自 内 网 ) 
allow- notify | none; |; // disallow notify processing( 不 允许 通知 处 理 ) 
allow-transfer | none; |; // disable zone transfers( 禁止 区 域 传递 ) 
allow-update | none; |; // disable updates (禁止 更 新 ) 

is 


zone 


“omy 
type delegation- only ; 
file “db. dot” ; 

|; 

每 台 根 服务 絮 是 一 台 仅 支持 委派 类 型 的 服务 器 ， 如 在 上 面 范 例 配置 文件 底部 的 根 
区 域 声 明 块 内 所 指明 的 情况 。 仅 支持 委派 类 型 是 一 种 特殊 形式 的 类 型 服务 器 ， 它 仅 以 
referral ( 转 荐 ) 而 不 是 答案 做 出 应 答 。 在 BIND 中 多 台 主 服务 器 配置 的 这 样 一 种 情 
形 ， 对 于 像 这 种 变化 不 频繁 的 静态 区 域 是 可 能 的 。 对 根 区 域 的 任何 修改 ， 都 意味 着 一 
个 新 的 或 修改 过 的 顶层 域 指派 ， 并 必须 通过 更 新 每 台 根 服务 器 上 的 db. dot 文件 来 完 
成 。 没 有 动态 更 新 、 通 知 或 区 域 传递 。 所 有 改变 必须 由 管理 员 对 db. dot 文件 的 修改 
来 完成 ， 并 要 求 所 有 主 服务 器 上 被 修改 区 域 文件 的 协同 载 和 人， 才能 将 其 同步 地 进行 
服务 。 

如 下 形象 地 说 明了 范例 db. dot 文件 的 一 部 分 ， 它 包含 内 部 根 区 域 的 解析 数据 。 

$ TTL Id 

.IN SOA dnsl. ipamworldwide. com. dnsadmin. ipamworldwide. com ( 

1 // serial number ( 序列 号 ) 

2h // refresh interval of 2 hours (2h 的 刷新 间隔 ) 

30m // retry after 30 minutes( Æ 30min 后 重 试 ) 

lw // expire after 1 week(1 周 后 过 期 ) 

1d ); // negative caching TTL of 1 day(1 天 的 负面 缓存 TTL) 


ipamworldwide. com. IN NS dns1. ipamworldwide. com. 


IN NS dns2. ipamworldwide. com. 


Z 


NS dns3. ipamworldwide. com. 
NS dns4. ipamworldwide. com. 


partner. net N NS dns- parl. ipamworldwide. com. 


SS = 一 
ZA 


N NS dns- par2. ipamworldwide. com. 


16. 172. in- addr. arpa IN NS dnsl. ipamworldwide. com. 
IN NS dns2. ipamworldwide. com. 
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0. f. a. 4. 8. b. d.0.1.0.0.2.ip6. arpa IN NS dns1. ipamworldwide. com. 
N NS dns2. ipamworldwide. com. 


— 


— 


N A 172. 16. 40.5 
N A 172. 16. 50.5 


dnsl. ipamworldwide. com. 


— 


dns2. ipamworldwide. com. 


— 


N A 172. 20. 199. 2 

dns-par2. ipamworldwide. com. N A 172. 20. 199. 3 

我 们 前 面 配置 的 对 其 他 DNS 服务 器 的 转 荐 ， 文 持 查 询 的 权威 解析 。 这 里 ,任何 
查询 都 落 在 ipamworldwide. com 内 (包括 eng. ipamworldwide. com) ， 将 被 发 送 到 我 们 的 
内 部 权威 服务 器 。 注 意 我 们 在 这 个 列表 中 没有 包括 172. 16. 30. 5 这 人 台 服 务 器 ， 原 因 是 
这 是 一 台 隐 藏 的 服务 器 。 

要 求 外 部 (例如 ) 合作 方 外 部 网 DNS 服务 器 的 任何 解析 ， 也 都 要 求 在 提示 线索 
文件 中 有 对 应 的 表 项 ， 它 指向 内 部 面向 合作 方 的 服务 器 。 在 我 们 上 面 的 例子 中 ， 访 问 
partner. net 域 及 其 子 域 ， 都 将 被 转 到 权威 DNS 服务 器 dns- parl. ipamworldwide. com 或 
dns-par2. ipamworldwide. com。 如 我 们 将 在 下 一 分 类 中 将 讨论 的 情况 ， 这 些 服务 器 可 被 
配置 为 partner. net 区 域 的 桩 服务 器 ; 另外 ， 直 接 转 荐 到 partner. net DNS 服务 器 的 方 
法 ， 可 被 用 于 根 区 域 文 件 内 这 些 表 项 之 上 。 底 线 是 ， 这 些 根 服务 咒 可 将 顶层 域 委派 给 
其 他 DNS 服务 器 ， 这 些 服务 器 顺 次 被 配置 为 : 权威 地 解析 相应 的 域 和 子 域 。 


11.5.4 隐秘 的 从 属 DNS 服务 器 


如 此 称 为 隐秘 的 (Stealth) MJE DNS 服务 器 ， 原 因 是 在 父 区 域 中 缺少 服务 器 的 
NS 和 黏 结 记录 ， 如 我 们 在 前 一 节 刚 刚 看 到 的 172. 16. 30. 5 服务 器 的 情形 ; 因此 ， 这 
台 隐 藏 的 名 字 服 务 器 不 是 通过 NS 查询 加 以 识别 的 。 我 们 已 经 使 用 这 种 配置 来 隐藏 一 
台 主 服务 器 ， 但 这 种 方法 也 可 同样 适用 于 从 属 服务 器 。 因 此 ， 当 遍历 域 树 时 ， 其 他 
DNS 服务 器 将 不 会 因为 解析 而 查询 这 人 台 隐 藏 的 服务 器 ， 原 因 是 它 没 有 在 父 区 域 的 转 
荐 中 进行 “通告 ”。 

为 了 降低 服务 器 间 流 量 ， 或 控制 这 种 流量 到 解析 器 和 其 他 服务 器 的 一 个 固定 组 
合 ， 可 针对 一 台 从 属 服务 器 部 署 这 种 类 型 的 配置 。 本 地 解析 器 可 被 配置 为 查询 一 台 隐 
秘 的 从 属 服 务 器 。 并 不 采取 去 除 隐秘 从 属 服 务 器 的 NS 和 黏 结 记 录 ， 相 反 ， 该 配置 等 
价 于 一 台 正 常 从 属 服务 器 的 配置 。 


11.5.5 多 层 服务 器 配置 


部 署 隐藏 服务 器 的 方法 ， 可 有 助 于 降低 作为 一 组 区 域 的 主 服 务 器 对 攻击 的 暴露 程 
度 。 这 使 解析 器 和 其 他 服务 器 可 查询 从 属 服 务 器 ， 从 属 服务 器 也 是 所 配置 区 域 的 权 
威 。 但 在 一 些 情形 中 ， 人 们 也 期 望 增加 一 个 第 三 屋 ， 以 此 补充 两 层 的 主 从 模型 。 这 个 
高 层 的 特征 是 一 台 主 DNS 服务 ， 也 许 是 所 有 内 部 名 字 空 间 的 主 服务 器 ， 实 际 上 可 提 


dns-parl. ipamworldwide. com. 


— 
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供 一 个 组 织 机 构 DNS 信息 的 真正 主 数据 库 。 这 个 场景 如 图 11-6 所 示 。 


172.16.20.5 


172.16.30.5 


172.16.40.5 172.16.60.5 172.16.140.5 172.16.160.5 
172.16.50.5 172.16.150.5 


Eng.ipamworldwide.com 区 域 


20.172.in-addr. x H 
finance.ipamworldwide.com 区 域 21 172 in addr arpa a 


ipamworldwide.com JX 


到 11-6 三 层 的 内 部 服务 器 结 构 


让 我 们 称 这 个 顶层 DNS 服务 器 为 一 个 层 1 服务 器 。 它 将 所 有 区 域 配置 为 类 型 主 
模式 (type master) 。 我 们 前 面 的 主 服 务 器 172. 16. 30.5 和 172. 16. 130.5 (我 们 将 称 它 
们 为 层 2 服务 器 ) 现在 被 配置 为 从 属 服务 器 ， 从 我 们 的 层 1 主 服务 器 处 拉 取 区 域 传 
递 。 在 层 3 的 原始 从 属 服务 器 集合 ， 仍 然 保 持 为 从 属 服务 器 ， 并 继续 从 其 相应 的 层 2 
服务 器 拉 取 区 域 传递 。 这 些 层 2 服务 器 (虽然 还 是 从 属 服务 器 ) 被 配置 在 每 台 层 3 服 
务 器 区 域 语句 的 masters 语句 之 内 。 因 此 ， 在 我 们 的 层 3 服务 器 的 配置 中 不 需要 改变 。 
但 是 ， 我 们 的 层 2 服务 器 ， 必 须 针 对 每 个 配置 的 区 域 修 改 为 从 属 服务 器 ， 以 层 1 服务 
器 标识 为 每 个 区 域 的 主 服务 器 。 在 这 种 配置 中 ， 层 1 服务 器 被 称 作 主要 的 主 服务 器 ， 
原因 是 这 是 在 其 上 区 域 更 新 可 被 直接 执行 的 服务 器 ， 其 中 到 层 2 和 层 3 的 区 域 传递 被 
后 续 执 行 ， 以 便 据 此 更 新 所 有 的 权威 服务 器 。 


11.6 内 部 -外 部 分 类 
部 署 场景 的 这 个 分 类 为 组 织 机 构 内 部 的 解析 器 ， 解 决 该 机 构 外 部 信息 的 DNS 
解析 。 


11.6.1 混合 权威 /缓存 DNS 服务 器 


多 数 权威 的 、 递 归 的 DNS 服务 器 ， 代 表 解 析 器 ， 绥 存 查询 解析 过 程 中 它们 所 接 
收 到 的 解析 信息 ， 所 以 多 数 权威 服务 顺从 技术 角度 来 说 是 “混合 的 ”服务 器 。 迄 今 
为 止 我 们 讨论 过 的 内 部 服务 器 配置 都 落 在 这 个 场景 内 : 它们 尝试 解析 权威 信息 ， 如 果 
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不 能 解析 ， 则 逐步 将 查询 升级 ,一 直到 因特网 〈 或 内 部 的 ) 根 服务 器 为 止 。 对 于 拥 
有 许多 台 内 部 DNS 服务 器 的 小 到 中 型 组 织 机 构 来 说 ， 这 种 配置 运行 良好 。 

但 是 ， 如 果 几 台 (由 个 人 容忍 程度 (应 该 指 经 济 承受 能 力 ) 确定 ， 但 大 约 为 10 
RREZ) 这 样 的 服务 器 实施 这 些 因特网 查询 的 话 ， 就 会 出 现 令 人 担忧 的 问题 。DNS 
解析 要 求 消耗 从 机 构 到 因特网 的 了 P 外 发 流量 ， 这 从 一 个 安全 策略 的 角度 而 言 ， 会 增 
加 暴露 风险 。 许 多 台 服 务 器 可 能 针对 同一 解析 信息 ， 发 起 元 余 的 查询 ， 这 就 降低 了 效 
率 。 因 此 ， 下 一 节 强 调 使 用 一 组 专用 的 缓存 服务 器 ， 通 过 这 些 服 务 器 可 发 出 所 有 的 外 
发 查询 。 


11.6.2 专用 的 缓存 服务 器 


专用 缓存 服务 器 可 用 作 这 样 一 个 集中 点 ,解析 来 自 内 部 主机 要 求 内 部 名 字 空 间 之 
外 信息 的 查询 。 我 们 的 内 部 服务 器 将 为 内 部 客户 端 解析 ipamworldwide. com 查询 ， 但 
因特网 网 站 和 电子 邮件 地 址 的 解析 ， 将 要 求 使 用 支持 相应 名 字 空 间 的 DNS 服务 器 才 
能 得 到 解析 。 专 用 缓存 服务 器 的 部 署 ， 针 对 来 自 内 部 源 的 因特网 DNS Ew, SA 
于 降低 外 发 查询 ， 并 简化 防火 墙 的 配置 。 组 织 机 构 内 部 的 其 他 名 字 服 务 器 ， 在 它们 不 
能 直接 从 权威 配置 或 其 自己 的 缓存 中 进行 解析 的 情况 下 ， 将 查询 转发 到 这 些 缓存 名 字 
服务 器 。 

由 于 对 专用 缓存 服务 需 在 代表 内 部 主机 解析 因特网 查询 这 方面 的 依赖 ， 专 用 缓存 
服务 器 应 该 部 署 在 一 种 高 可 用 配置 状态 。 因 为 这 些 缓存 服务 器 将 频繁 地 发 送 并 接收 因 
特 网 流量 ， 所 以 它们 应 该 被 部 署 在 靠近 因特网 连接 处 。 将 这 种 情形 加 到 我 们 前 面 的 外 
部 DNS 图 中 ， 得 到 图 11-7， 它 形象 地 说 明了 在 内 部 网 络 内 (但 相对 靠近 因特网 连接 
处 ) 一 对 高 可 用 服务 器 的 部 署 。 如 果 您 拥有 两 条 不 同 的 因特网 连接 ， 则 在 靠近 每 条 
连接 处 部 署 一 台 服务 器 或 一 对 服务 器 ， 是 一 个 好 想法 ， 但 在 图 11-7 中 仅 给 出 一 对 服 
务 器 的 情形 。 


DMZ 2 
DNS 从 属 服务 器 


d 多 
因特网 缓存 外 部 名 字 空间 
192.0.2.34 
2001:db8:4af0:2010::a 
a 
172.16.15-6 
隐藏 的 主 服务 器 
外 部 名 字 空间 
S 防火 墙 192.0.2.50 防火 墙 
Ss 2001:db8:4af0:2006::9 
NS 
172.16.0.5 
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外 部 服务 器 为 外 部 查询 器 解析 您 的 公开 信 ) 


客户 端 解析 外 部 信息 


器 ， 支 持 在 满足 如 下 条 件 的 组 织 机 构 内 部 ， 仅 指定 


务 器 地 址 ， 否 则 该 机 构 会 执行 迭代 查询 。 


因为 服务 器 为 所 有 内 部 客户 端 缓存 响应 
中 极 可 能 有 查询 响应 信息 时 ， 


不 准确 或 恶意 解析 信息 的 使 


将 外 发 DNS 查询 的 UDP 端 


SEC 验证 选项 (信任 密 钥 )， 


息 的 查询 ， 而 缓存 服务 器 代表 您 的 内 部 
。 内 部 缓存 名 字 服 务 器 的 IP 地址， 需要 添加 到 防火 墙 的 允许 列 
表 ， 以 便 为 内 部 客户 端 支 持 因 特 网 主机 名 的 解析 。 使 用 一 台 或 少量 这 样 的 名字 服务 


这 些 少量 


我 们 在 第 13 章 将 讨论 。 我 们 前 面 


HEIZ, 


时 地址 而 不 是 每 台 DNS AR 


， 所 以 随 着 时 间 推 移 ， 当 服务 器 在 其 缓存 

解析 效率 倾向 于 较 高 。 但 是 ， 对 缓存 毒化 的 脆弱 性 以 及 
用 ， 可 能 导致 错误 定向 的 应 月 
出 口号 做 随机 化 处 理 。 同 档 


确保 您 的 防火 墙 没有 
考虑 在 这 些 服 务 器 上 配置 DNS- 


可 进行 更 新 ， 见 表 11-3 和 表 11-4。 我 们 使 用 “NAT 1172. 16. 1.51?” 
务 器 的 IP 地 址 进行 地 址 转换 (NAT) 得 到 的 IP 地 址 。 针 对 每 台 服 务 器 应 该 有 这 样 的 


i 讨论 的 防火 墙 浊 


E A e E 
来 表示 从 缓存 服 


一 个 表 项 。 
表 11-3 DNS 消息 的 范例 更 新 外 部 防火 墙 配 置 
消息 和 方向 控制 源 地 址 源 端 目的 地 地 址 目的 地 端口 
从 因特网 来 的 ; 
DNS 查询 允许 任意 > 1023 192. 0. 2. 32/27 53 
对 DNS 查询 的 ; Ee 
响应 允许 192. 0. 2. 32/27 53 任意 >1023 
因特网 缓存 服务 、 ， 
器 查询 Tit NAT{172. 16. 1.5} > 1023 任意 53 
对 因特网 缓存 服 
务 器 查询 的 响应 允许 任意 53 NAT|172. 16.1.5 > 1023 
所 有 其 他 情形 拒绝 任意 任意 任意 任意 
表 11-4 针对 DNS 消息 的 范例 更 新 内 部 防火 墙 配 置 
消息 和 方向 控制 源 地 址 源 端 目的 地 地 址 目的 地 端口 
由 从 属 服务 器 到 
主 服 务 器 的 查询 ( 例 允许 192. 0. 2. 32/27 >1023 172. 16.0.5 53 
如 刷新 查询 ) 
从 主 服务 器 到 从 RIF 172. 16.0.5 53 ,1053 192. 0. 2. 32/27 1023 
属 服务 器 的 响应 “ee , a i 
因特网 缓存 服务 F 音 
: 172. 16.1.5 F 意 
器 查询 允许 6 >1023 任 53 
对 因特网 缓存 服 、 
: E 意 53 172.16.1.5 1023 
务 器 查询 的 响应 atl t 6 a 
所 有 其 他 情形 拒绝 任意 任意 任意 任意 
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缓存 DNS 服务 器 配置 的 重要 方面 包括 如 下 内 容 。 

1) 作为 一 台 绥 存 服务 器 ， 该 服务 器 不 是 任何 区 域 的 权威 。 在 这 人 台 服 务 咒 上 要 配 
置 (或 简单 地 包括 ) 的 唯一 区 域 文件 是 root-hints. file, 

2) 仅 人 允许 来 自 内 部 源 的 查询 。 

3) 禁止 动态 更 新 和 区 域 传递 。 

4) 可 依据 服务 右 资 源 和 缓存 策略 ， 使 用 绥 存 管理 选项 。 

5) 当 缓 存 服务 需 面 临 缓存 毒化 和 其 他 “中 间 人 ”攻击 时 ， 采 用 安全 补丁 和 更 新 
使 缓存 服务 器 软件 保持 最 新 。 在 下 一 章 讨论 这 点 。 

6) 如 果 期 望 使 用 DNSSEC 验证 (在 第 13 章 详 细 描述 ) ， 则 要 配置 信任 的 或 管理 
的 密 钥 。 

7) 通过 配置 或 缓存 ， 如 果 其 他 内 部 DNS 服务 器 不 能 解析 的 查询 ， 它 们 会 将 这 些 
查询 转发 到 这 些 因特网 缓存 服务 右 。 

(1) 缓存 服务 器 配置 例 。 这 种 类 型 服务 器 的 一 个 范例 name. conf 配置 如 下 。 

acl internal-nets | 10. 0. 0. 0/8; 172. 16.0.0/12; 

2001 :db8 :4af0;:/48; 上 ; 


options | 


directory “/opt/named/dns/etc” ; 
recursion yes ; 

version “hidden” ; 

allow-query | internal-nets; | ; 
allow-transfer | none; |; 


allow-update | none; | ; 


zone “.” | 
type hint; 
file “Internet-root-hints. file” ; 

E 

“ Internet- root-hints. file” 文件 应 该 是 标准 的 NIC 根 提示 线索 文件 ， 指 向 因特网 根 
DNS 服务 器 。 当 这 人 台 服 务 器 构建 其 缓存 时 ， 它 将 首先 使 用 缓存 来 对 内 部 查询 做 出 响 
应 ， 之 后 当 必要 时 ， 从 根 服务 器 开始 ， 沿 域 树 向 下 进行 查询 。 

(2) 导致 的 内 部 服务 器 配置 改变 。 考 虑 到 将 非 权威 解析 上 升 到 因特网 (或 内 部 ) 
根 ， 使 用 缓存 服务 器 所 导致 的 策略 改变 ， 对 于 到 此 为 止 我 们 所 讨论 的 所 有 内 部 -内 部 
分 类 服务 器 配 置 而 言 ， 需 要 做 出 如 下 配置 改变 。 

1) 去 除 指向 提示 线索 文件 的 如 下 根 区 域 语 句 块 。 


zone “. ”| 


type hint 


file root-hints. txt 
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2) 激活 到 缓存 服务 器 的 转发 功能 ， 而 不 使 用 hins (提示 线索 ) 文件 。 通 过 将 如 
下 语句 插入 到 每 台 服 务 器 的 named. conf 文件 的 选项 | | 块 内 ， 可 做 到 这 点 。 


options | 


forwarders | 172. 16.1.5; 172.16. 1.6;}; 
forward only; 
| 
这 个 配置 指令 DNS 服务 器 将 所 有 查询 转发 到 我 们 的 缓存 服务 器 。 转 发 选项 可 如 
上 所 述 配 置 在 全 局 层次 、 可 配置 在 每 区 域 层次 以 及 可 配置 在 带 有 区 域 层次 的 一 个 全 局 
层次 〈 例 外 的 是 在 相应 区 域 语 句 块 内 输入 一 个 空 的 转发 器 语句 (forwarders |} ;)). 
考虑 我 们 的 172. 16. 40. 5 从 属 服务 器 配置 ， 我 们 可 更 新 它 的 named. conf 文件 ， 方 
法 是 如 上 所 述 去 掉 根 区 域 块 ， 并 添加 我 们 的 两 条 转发 语句 。 那 么 我 们 可 使 ipamworld- 
wide. com 区 域 免除 转发 ， 方 法 是 在 区 域 块 内 插入 我 们 的 空转 发 器 语句 ， 如 下 。 


zone “ipamworldwide. com” | 


type slave; 

forwarders | }; 

masters | 172. 16.30.5 ; |; 
file “bak. ipamworldwide. com” ; 

T 

采用 这 种 配置 ， 对 ipamworldwide. com WN FE VR E SR AY A A h RS A A OR fe 
析 ; 其 他 查询 将 被 转发 到 我 们 的 因特网 缓存 服务 器 。 

这 个 配置 的 另外 一 种 方法 涉及 在 每 台 服 务 器 上 保留 根 区 域 和 提示 线索 文件 配置 ， 
同时 要 将 named. conf 文件 内 “forward only;” 语 名 改变 为 “forward first;”。 这 样 做 ， 
就 将 服务 器 配置 成 : 在 开始 时 尝试 使 用 转发 来 解析 查询 ， 但 如 果 不 能 解析 ， 则 使 用 其 
他 的 方法 ,例如 通过 根 服务 器 的 解析 法 。“forward only;” 语 句 指令 服务 器 转发 ， 以 此 
作为 解析 的 唯一 (first and last resort) 选项 。 


11.6.3 外 网 解析 服务 器 


这 个 场景 包括 : 配置 内 部 DNS 服务 器 解析 来 自 内 部 客户 端 请 求 外 网 合作 方 信息 
的 查询 。 这 种 配置 是 我 们 在 外 部 -内 部 分 类 中 所 讨论 外 网 场景 的 补充 。 在 这 种 特定 的 
场景 中 ， 存 在 三 种 配置 可 能 性 。 

(1) 外 网 转发 区 域 。 在 前 一 节 我 们 对 转发 的 讨论 之 上 ， 我 们 可 将 与 合作 方 域 绑 
定 的 查询 定义 为 类 型 为 “转发 ”的 一 个 区 域 。 内 部 DNS 服务 器 所 接收 到 的 、 要 求 对 
合作 方 域 解析 有 关 的 所 有 查询 ， 将 被 转发 到 指定 的 合作 方 DNS 服务 器 。 为 了 针对 我 
们 的 合作 方 域 (比如 parner. net) 实现 这 个 场景 ， 我 们 在 named. conf 文件 内 声明 这 个 
区 域 ， 如 下 。 


zone “partner. net” | 
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type forward; 
forwarders | 192. 168. 100.5; 192. 168. 200.5; }; 
forward only; 
E 
(2) 外 网 桩 区 域 。 一 个 桩 区 域 是 从 属 区 域 的 一 种 特殊 形式 ， 其 中 在 服务 器 上 仅 
传递 和 维护 该 区 域 的 NS 和 黏 结 记 录 ， 而 不 是 整个 区 域 资 源 记 录 内 容 。 就 像 一 个 桩 解 
析 器 一 样 ， 一 个 桩 区 域 是 这 样 配 置 的 ， 就 给 定 区 域 为 各 查询 配置 “ 谁 在 请 求 ” (who 
to ask) ， 而 不 像 一 个 从 属 区 域 那 样 直接 提供 答案 。 在 一 条 外 网 链 路 的 特殊 情形 中 ， 可 
为 我 们 的 合作 方 域 partner. net, 产生 一 个 桩 域 。 


“ ” 
zone partner. net | 


type stub; 
masters | 192. 168. 249.11;|; 
is 
(3) 通过 内 部 根 的 外 网 委派 。 如 果 您 正在 使 用 内 部 根 服 务 器 ， 则 您 可 将 part- 
ner. net 区 域 定义 为 仅 是 委派 的 ， 并 指向 合作 方 的 DNS 服务 器 (可 能 是 多 台 服 务 器 )， 
方法 是 配置 相应 的 NS 和 黏 结 记 录 。 在 我 们 前 面 的 内 部 根 区 域 文 件 例 子 中 ， 我 们 将 要 
解析 查询 的 DNS 服务 器 内 部 集合 指向 partner. net 域 。 这 些 被 索引 (referenced) 服务 
髓 将 需要 配置 这 个 区 域 为 转发 或 桩 ; 男 外 ， 根 区 域 文件 可 直接 指向 合作 方 的 服务 屁 ， 
虽然 这 样 做 时 ， 如 果 您 的 合作 方 改变 服务 器 IP 地 址 或 主机 名 的 话 ， 这 就 会 成 为 一 个 
维护 问题 。 


11.7 交叉 角色 分 类 


11.7.1 SERLE DNS 服务 器 


BIND 9 的 这 种 视图 特征 功能 支持 将 一 个 区 域 的 多 个 版 本 部 署 到 一 台 DNS 服务 器 
上 。 可 依据 查询 源 和 目的 地 上 的 一 个 地 址 匹配 列表 以 及 查询 是 否 为 递归 的 ， 服 务 器 可 
过 滤 查 询 。 这 个 过 滤 过 程 确定 为 查询 的 解析 ， 将 搜索 区 域 的 哪个 版 本 或 视图 。 每 个 视 
图 均 被 配置 有 其 区 域 文 件 的 对 应 版 本 。 使 用 视图 的 一 个 常见 例子 是 用 于 “分 割 
DNS” , 或 提供 一 个 组 织 机 构 名 字 空 间 的 内 部 和 外 部 版 本 。 虽 然 并 不 建议 部 署 单一 
DNS 服务 器 集合 来 处 理 内 部 和 外 部 查询 ， 但 对 于 较 小 型 的 组 织 机构 ， 这 确 是 一 种 更 
实际 的 方法 。 但 视图 也 可 用 于 内 部 名 字 空 间 ， 将 对 某 些 主机 解析 的 访问 限制 到 特定 的 
解析 需 客 户 端 。 

在 下 面 的 例子 中 ， 我 们 将 定义 一 个 新 的 子 域 hr. ipamworldwide. com, 定义 该 区 域 
的 两 个 版 本 ,之 后 将 这 些 版 本 与 DNS 服务 器 上 的 相应 视图 关联 。 这 个 概念 是 提供 对 
hr ( 人力 资源 ) 门户 服务 器 (主机 名 portal) 的 通用 访问 , 但 将 hr. ipamworldwide. com 
子 域内 其 他 主机 的 访问 限制 到 仅 有 网 络 上 的 HR 用 户 才 有 权限 。 

我 们 首先 考虑 的 一 件 事 是 区 域 文件 自身 。 让 我 们 在 一 个 称 为 
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db. hr. ipamworldwide. com. default 中 创建 我 们 的 通用 的 或 默认 的 域 版 本 ， 在 另 一 个 称 为 
db. hr. ipamworldwide. com. hr 的 文件 也 做 这 些 工 作 ， 但 后 者 对 于 HR 客户 端 具 有 较 宽 的 可 见 
性 (visibility ) 。 注 意 如 果 没有 委派 hr 子 域 ， 则 将 需要 父 区 域 文件 的 两 个 版 本 ， 子 域 的 
个 视图 需要 一 个 版 本 。 

我 们 的 db. hr. ipamworldwide. com. default 文件 将 包含 有 限 数 量 的 A 记录 或 甚至 仅 
有 一 条 A 记录 (除了 该 区 域 的 SOA、NS MBIA) 。 

portal IN A 172. 16. 4. 24 

而 db. hr. ipamworldwide. com. hr 文件 将 包含 更 多 的 资源 记录 ， 例 如 

payroll IN A 172. 16. 4. 10 

benefits IN A 172. 16. 4. 14 

empdb IN A 172. 16. 4. 22 

portal IN A 172. 16. 4. 24 

promo IN A 172. 16. 4. 30 

注意 也 需要 4. 16. 172. in-addr. arpa. 域 的 两 个 版 本 ， 每 个 版 本 对 应 于 每 个 视图 中 
暴露 出 的 IP 地 址 和 主机 。 在 db 文件 名 上 ， 我 们 使 用 相同 的 default 和 hr 后缀 。 

db. 172. 16. 4. default 文件 概要 : 


24 IN PTR portal. hr. ipamworldwide. com. 
db. 172. 16. 4. hr 文件 概要 ; 


10 IN PTR payroll. hr. ipamworldwide. com. 

14 IN PTR benefits. hr. ipamworldwide. com. 

22 IN PTR empdb. hr. ipamworldwide. com. 

244 DNS SERVER DEPLOYMENT STRATEGIES 
24 IN PTR portal. hr. ipamworldwide. com. 

30 IN PTR promo. hr. ipamworldwide. com. 


既然 我 们 已 经 为 每 个 版 本 创建 了 我 们 的 区 域 文件 ， 那 么 我 们 可 将 它们 与 DNS 服 
务 器 上 的 对 应 视图 关联 。 让 我 们 使 用 hrdns. hr. ipamworldwide. com 作为 我 们 的 主 DNS 
服务 器 。 下 面 是 这 人 台 服 务 器 的 范例 name. conf 文件 的 部 分 内 容 : 

acl human-res |172. 16. 4.0/23; |; 


view “hr” | 


match-clients | “human-res” ; } ; 

match- destinations | localnets; } ; 

zone “hr. ipamworldwide. com. ” | 
type master; 


file “db. eng. ipamworldwide. com. hr” ; 
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|; 
zone “4. 16. 172. in-addr. arpa. ”| 
type master; 
file “db. 172. 16. 4. hr” ; 
1s 
E 
view “default” | 
match-clients | any; | ; 
zone “hr. ipamworldwide. com. ”| 
type master; 
file “db. hr. ipamworldwide. com. default” ; 
人 
zone “4. 16. 172. in-addr. arpa. ”| 
type master; 
file “db. 172. 16. 4. default” ; 
if 

ie 

注意 在 named. conf 内 视图 语句 的 顺序 是 重要 的 。 匹 配 查 询 的 第 一 个 视图 将 被 用 

于 确定 将 访问 哪个 区 域 文件 的 信息 。 因 此 我 们 在 更 具 区 分 力 的 hr 视图 语句 之 后 定义 
我 们 的 默认 视图 ， 它 匹配 所 有 的 客户 端 查 询 。 我 们 声称 这 是 一 个 部 分 定义 。 为 了 合适 
地 实施 到 从 属 服务 器 的 区 域 传递 ， 要 以 相同 方式 (likewise) 配置 这 些 视 图 ， BER VE 
行 特殊 处 理 。 毕 竟 对 与 hr. ipamworldwide. com 主机 有 关 的 一 条 资源 记录 的 更 新 ， 可 解 
释 为 落 入 任 一 视图 。 应 该 更 新 哪个 视图 呢 ? 
要 确保 通知 、 更 新 和 传递 处 于 正确 的 视图 间 ， 就 要 求 对 匹配 客户 端 ACL AKA 
询 - 源 、 通 知 - 源 和 传递 - 源 语句 进行 修改 (manipulation)。 通 过 为 这 样 的 每 个 功能 定 
义 源 下 地 址 、 施 用 一 条 对 应 的 ACL， 服 务 器 间 通 信 可 被 集中 到 正确 的 视图 。 在 对 我 
们 上 述 例子 扩展 上 上， 我们 需要 修改 我 们 的 “human-res” (人 力 资源 ) ACL 以 便 禁 止 
(negate) 默认 视图 的 源 语句 中 使 用 的 IP 地址 (可 能 有 多 个 地 址 ) 。 即 考虑 到 顺序 的 
重要 性 ,来自 于 主 服务 器 对 默认 视图 的 通知 ， 需 要 从 人 力 资 源 的 视图 中 阻塞 掉 ， 使 他 
们 看 不 到 。 类 似 地 ， 来 自 于 从 属 服务 器 针对 默认 视图 的 传递 请 求 ， 也 需要 从 人 力 资源 
的 视图 中 阻塞 掉 。 另 外 ， 在 两 组 服务 器 上 的 查询 - 源 应 该 进行 类 似 配 置 。 

这 在 图 11-8 中 作 了 形象 的 说 明 。 出 于 简洁 性 考虑 ， 在 每 台 服 务 需 上 使 用 字母 来 
符号 化 (symbolize ) * -source” 选 项 ， 我 们 可 以 图 形 方 式 说 明 ， 有 关 视 图 2 的 一 个 区 域 
更 新 的 一 条 通知 ( 从 主 服务 器 到 从 属 服务 器 1) 将 首先 匹配 从 属 服务 器 上 的 视图 
来 自视 图 2 的 通知 ， 将 使 用 源 IP 地 址 B。 在 从 属 服务 器 1 上 ， 在 视图 定义 的 匹配 - 


— 


o 


” 即 在 主 服 务 器 上 的 查询 - 源 ( query-source) 和 通知 - 源 (notify-source) 选项 以 及 每 台 从 属 服务 器 上 
的 查询 - 源 (query-source) 和 传递 - 源 (transfer-source) 选项 。 
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客户 端 部 分 内 阻塞 B， 但 落 在 视图 2 的 匹配 准则 内 ， 因 此 得 以 施用 。 类 似 地 , 来 自 源 
在 耳 地 址 I 上 针对 默认 视图 的 、 由 从 属 服务 器 2 到 主 服 务 器 的 一 条 传递 请 求 ， 将 在 视 
1 和 视图 2 内 被 阻塞 ， 但 正确 地 施用 到 默认 视图 。 


视图 1 
匹配 客户 端 =!B,!C 


视图 1 


匹配 客户 端 =!E,!F,!H,!I MESA 


匹配 客户 端 = 任意 
*_ ye =F 


视图 默认 
匹配 客户 端 = 任意 
E 源 =C 


视图 默认 
匹配 客户 端 = 任意 
*- 源 =] 


图 11-8 服务 器 间 通 信 的 视图 配置 
将 这 个 模型 施用 到 我 们 上 面 较 简 单 的 配置 例 ， 其 中 一 台 主 名 字 服 务 器 使 用 IP 源 
地 址 172. 16. 4. 101 ( 见 图 11-8 中 的 地 址 A) 和 172. 16. 4. 102 (地 址 C)、 单 一 一 台 从 
属 服务 器 施用 源 地 址 172. 16. 5. 201 (地 址 D) 和 172. 16. 5. 202 (地 址 下 ) ， 我 们 得 到 
主 服务 器 的 如 下 配置 。 
acl human-res |! |! 172. 16.4.0/23; any;}; ! 172. 16. 5.202; |; 


view “hr” | 


match-clients | “human-res” ; } ; 
match- destinations | localnets; | ; 
query-source address 172. 16. 4. 101; 
zone “hr. ipamworldwide. com. ”| 
type master; 
notify-source 172. 16. 4. 101; 
file “db. eng. ipamworldwide. com. hr” ; 
|; 
zone “4. 16. 172. in-addr. arpa. ”| 
type master; 
notify- source 172. 16. 4. 101; 
file “db. 172. 16. 4. hr” ; 
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view “default” | 
match-clients | any; | ; 
query-source address 172. 16. 4. 102; 
zone “hr. ipamworldwide. com. ”| 
type master; 
notify-source 172. 16. 4. 102; 


file “db. hr. ipamworldwide. com. default” ; 
\. 


1 
zone “4, 16. 172. in-addr. arpa. ”| 
type master; 
notify- source 172. 16. 4. 102; 
file “db. 172. 16. 4. default” ; 


} 


L5 


如 下 反映 了 相应 的 从 属 服务 器 的 视图 配置 。 
acl human-res-slave |! |! 172. 16.4.0/23; any;}; ! 172. 16.4.102; |; 


options | 
directory “/opt/dns/etc” ; 
E 
view “hr” | 
match-clients | “human-res-slave”; | ; 
match- destinations | localnets; | ; 
query-source address 172. 16.5. 201; 
zone “hr. ipamworldwide. com. ”| 
type master ; 
notify- source 172. 16.5. 201; 
masters | 172.16.4.101; |; 
| 
zone “4. 16. 172. in-addr. arpa. ”| 
type master ; 
notify- source 172. 16.5. 201; 
masters | 172. 16. 4. 101; |; 


l; 


view “default” | 


match-clients | any; } ; 
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query-source address 172. 16.5. 202 ; 
zone “hr. ipamworldwide. com. ” | 
type master ; 
notify- source 172. 16.5. 202; 
masters | 172. 16.4. 102; | ; 
E 
zone “4. 16. 172. in-addr. arpa. ” | 
type master; 
notify- source 172. 16. 5. 202; 
masters | 172. 16. 4. 102; }; 


l; 
11.7.2 采用 任意 播 地 址 部 署 DNS 服务 器 


采用 任意 播 地 址 配置 DNS 服务 器 ， 支 持 多 台 DNS 服务 器 使 用 同一 个 IP hko E 
顾 一 下 ， 一 个 任意 播 地 址 是 指派 到 多 个 接口 (典型 情况 下 在 不 同 节点 上 ) 的 一 个 地 
址 。 当 尝试 到 达 任 意 播 可 寻 址 主机 中 的 任意 一 台 时 ， 如 果 不 关心 到 达 的 是 哪 台 主机 ， 
则 使 用 任意 播 。 路 由 设施 处 理 路 由 度量 指标 的 更 新 ， 以 便 跟踪 到 配置 有 目的 任意 播 地 
址 的 最 近 主 机 的 可 达 性 和 路 由 。 图 11-9 形象 地 说 明了 这 样 一 个 例子 ， 其 中 有 三 台 
DNS 服务 器 ， 配 置 有 任意 播 地 址 10. 4. 23. 1 。 


目的 地 度量 指标 “下 一 中 J 
10.4.23.1/32 2 路 由 器 2 
10.4.23.1/32 3 路 由 器 4 


10.4.23.1/32 4 ”路 由 器 2 或 4 hd 


7 


DNS 服务 器 
10.4.23.1 


DNS 服务 器 
10.4.23.1 


图 11-9 任意 播 路 由 表 例 
如 图 11-9 所 示 ， 路 由 器 1 有 到 任意 播 地 址 10. 4. 23. 1/32 的 三 条 路 由 ， 它 们 对 应 
于 我 们 的 三 台 服 务 器 。 最 近 的 服务 器 是 驻 留 (home) 在 路 由 器 2 上 的 ， 距 离 路 由 器 1 
有 两 跳 。 下 一 个 距离 最 近 的 服务 器 驻 留 在 路 由 器 5 上 ， 通 过 路 由 器 4 在 三 跳 内 可 达 。 
最 后 ， 连 接 到 路 由 器 6 的 服务 器 ， 通 过 路 由 器 2 或 路 由 器 4 在 四 跳 内 可 达 。 从 路 由 器 
1 视角 看 的 逻辑 视图 如 图 11-10 所 示 ， 其 中 任意 播 IP 地 址 被 看 做 单一 目的 地 ， 通 过 多 
条 路 径 可 达 。 
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(1) 任意 播 的 优势 。 部 署 任意 播 的 做 法 ， 提 供 了 诸多 优势 。 

1) 简化 了 解析 器 配置 。 

2) 改善 的 解析 性 能 。 

3) 高 可 用 性 的 DNS 服务 。 

4) 对 DNS 拒绝 服务 攻击 的 抑制 能 力 。 

配置 有 DNS 服务 器 任意 播 地 址 的 各 解析 器 ， 它 们 的 查询 将 被 路 由 到 配置 有 那个 
任意 播 地 址 的 最 近 DNS 服务 器 。 因 此 ， 不 管 解析 器 主机 连接 到 哪里 的 网 络 ， 相 同 的 
任意 播 卫 地 址 都 由 解析 器 使 用 来 定位 一 台 DNS 服务 器 。 这 个 局 部 化 的 查询 过 程 也 被 
用 来 改进 解析 过 程 的 性 能 。 到 一 个 DNS 任意 播 地 址 的 一 条 查询 ， 应 该 被 路 由 到 最 近 
的 DNS 服务 器 ， 由 此 降低 了 整体 查询 过 程 中 的 往返 延迟 时 间 量 。 

为 了 相应 地 更 新 路 由 表 ， 一 台 DNS 服务 器 的 连接 中 断 可 通知 到 路 由 基础 设施 
(没有 通信 和 量 就 表示 中 断 了 ) 。 这 要 求 DNS 服务 器 运行 一 个 路 由 守护 进程 ， 使 用 所 选 
的 路 由 协议 将 可 达 性 信息 通知 给 本 地 路 由 器 。 参 与 到 路 由 协议 更 新 之 中 的 做 法 ， 支 持 
本 地 路 由 器 以 一 个 合适 的 度量 指标 更 新 它 的 路 由 表 ， 并 通过 路 由 协议 将 这 个 信息 传递 
给 其 他 路 由 器 。 取 决 于 DNS 服务 器 的 部 署 情形 (内 部 的 或 外 部 的 )， 将 需要 在 DNS 
服务 器 上 运行 一 个 相应 的 内 部 或 外 部 路 由 协议 。 服 务 器 简单 地 需要 通知 它 的 任意 播 地 
址 是 可 达 的 。 典 型 情况 下 ， 是 这 样 完成 的 ， 将 服务 器 本 地 回环 地 址 ?之 一 指派 为 任意 
地 址 ， 并 在 一 个 或 多 个 端口 上 运行 一 个 路 由 守护 进程 ， 通 告 到 该 任意 播 地 址 的 可 达 
。 在 如 下 情况 下 ， 这 将 是 特别 有 用 的 ， 即 如 果 这 个 路 由 更 新 被 连接 到 服务 器 上 的 
DNS 守护 进程 或 服务 器 的 状态 时 ， 虽 然 当 通知 IP 地 址 可 达 性 时 ， 一般 而 言 ， 应 用 状 
态 是 不 作 考虑 的 。 


a 


i 
© i © © -DNS 服务 器 


\ G 10.4.23.1 
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一 
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K| 11-10 路 由 器 1 的 逻辑 路 由 视图 ， 图 中 显示 了 跳 数 


部 署 任意 播 ， 要 付出 拒绝 服务 攻击 的 缓解 措施 的 代价 ， 这 已 被 2007 年 2 月 6 日 
对 多 台 根 服务 器 的 分 布 式 拒绝 服务 (DDoS) 攻击 所 验证 。 在 作为 攻击 目标 的 六 台 根 
服务 器 中 ， 受 影响 最 严重 的 两 台 是 还 没有 实施 任意 播 的 那些 服务 器 。 部 署 了 任意 播 的 
其 他 四 台 根 服务 器 ， 支 持 将 攻击 分 散 到 更 多 物理 服务 器 的 能 力 。 因 此 ， 对 工 根 服 务 融 


”这 里 的 术语 “回环 地 址 ” 指 代 软 件 回环 地 址 ， 普 遍 实现 为 路 由 器 和 服务 器 中 的 “设备 地 址 ”， 在 这 
些 设备 的 任意 接口 上 均 可 达 。 
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(还 没有 实施 任意 播 ) 的 一 次 DDoS 攻击 ， 严 重地 影响 了 服务 器 对 合法 查询 响应 的 能 
力 ， 而 对 下 根 服务 器 ( 它 在 40 台 以 上 的 服务 器 上 配置 了 F 根 任意 播 地 址 ) 的 攻击 ， 
被 服务 器 将 攻击 的 影响 分 布 到 了 这 些 服务 器 上 。 这 种 形式 的 负载 分 担 做 法 ,使 F 根 服 
Sar (可 能 是 多 台 ) 在 遇 到 人 为 请 求 的 密集 攻击 时 ， 继 续 处 理 合法 的 查询 。 

(2) 任意 播 警 告 (caveat)。 虽 然 任意 播 提 供 了 许多 优势 ,但 也 要 考虑 到 部 署 任 
意 播 的 约束 和 警告 。 因 为 各 解析 器 可 在 一 个 给 定 的 时 间 查 询 配 置 有 任意 播 地 址 的 任何 
一 台 DNS 服务 器 ， 所 以 配置 在 服务 器 上 的 解析 信息 的 一 臻 性， 是 重要 的 。 例 如 ， 在 
因特网 根 服务 器 上 的 实现 ， 由 带 有 静态 信息 的 一 组 主 服 务 器 组 成 。 这 些 根 服务 器 不 会 
接受 动态 更 新 。 如 果 动 态 区 域 希望 使 用 任意 播 ， 那 么 除了 它 的 任意 播 地 址 之 外 ， 每 台 
服务 器 必须 有 一 个 单 播 地 址 ” 。 这 种 做 法 支持 将 更 新 定向 到 主 服 务 器 的 单 播 地 址 ， 接 
下 来 通过 从 属 服务 器 相应 的 单 播 地 址 来 通知 主 服 务 器 的 从 属 服务 器 。 可 使 用 一 种 隐藏 
的 主 服务 需 配 置 ， 它 的 从 属 服务 器 配置 有 任意 播 地 址 。 

另 一 种 考虑 是 要 求 在 您 的 DNS 服务 器 上 运行 一 个 路 由 守护 进程 ， 该 服务 右 配 置 
有 任意 播 地 址 。 将 报 文 路 由 到 任意 播 地 址 主要 (primarily) 是 一 项 路 由 功能 ， 一 台 
DNS 服务 器 主机 的 不 可 达 会 导致 查询 尝试 的 丢失 。 在 如 下 情况 下 将 会 发 生 这 种 情形 ， 
即 静态 路 由 被 用 来 配置 带 有 DNS 服务 器 的 固定 度量 指标 的 路 由 器 ， 这 些 DNS 服务 带 
配置 有 一 个 共同 的 任意 播 地 址 。 如 果 一 台 服 务 右 变 得 不 可 达 ， 则 服务 路 由 器 就 没有 办 
法 检测 到 这 点 ， 将 不 会 重新 路 由 目的 地 为 任意 播 地 址 的 报 文 。 因 此 ， 在 DNS 服务 器 
上 集成 一 个 路 由 守护 进程 ， 就 改进 了 整体 的 鲁 棒 性 。 如 果 一 台 服 务 器 出 现 故障 ， 则 本 
地 路 由 器 将 确定 它 不 再 是 可 达 的 ， 并 将 更 新 它 的 路 由 表 ， 通 过 路 由 协议 更 新 操作 来 更 
新 其 他 路 由 需 的 路 由 表 。 考 虑 到 因特网 根 路 由 融 部 署 在 全 球 因 特 网 上 ， 它 们 文 持 
BCGCP， 但 部 署 在 组 织 机 构 内 部 的 将 可 能 要 求 支 持 OSPF, IGRP 或 所 选中 的 内 部 路 由 
协议 。 

最 后 ， 当 使 用 任意 播 时 ， 排 错 是 有 点 挑战 性 的 。 考 虑 到 服务 器 的 二 义 性 ， 要 对 来 

一 台 主 机 任意 播 地 址 的 伪造 响应 进行 排 错 ， 是 困难 的 。 为 了 识别 哪 台 以 任意 播 寻 址 

的 服务 器 是 有 问题 的 ， 一 种 好 的 思路 是 ， 以 BIND server-id 选项 配置 服务 器 身份 识别 。 
您 可 定义 一 个 字符 串 标 识 符 或 仅 使 用 主机 名 参数 ,来 使 用 服务 器 的 主机 名 。 通 过 发 出 
带 有 qname =” ID. SERVER” , qtype =TXT (qclass = CHAOS) 的 一 条 查询 ， 可 检索 这 
个 值 。 使 用 这 项 挖掘 (dig) 设施 工具 ， 这 看 起 来 像 

dig id. server chaos txt@ < anycast-address > 

也 许 一 种 更 好 的 方式 ， 是 对 一 条 查询 使 用 dig + nsid 参数 ， 所 以 您 可 在 一 次 事务 
中 将 一 条 不 良 的 响应 与 服务 器 身份 识别 相关 。 

dig +nsid < query > @ < anycast- address > 


要 了 解 有 关 任 意 播 配置 的 更 多 细节 ， 请 见 参考 文献 [137，138] 。 


”出 于 管理 目的 ,每 台 任意 播 服务 器 将 要 求 一 个 单 播 地 址 ,但 为 了 支持 动态 区 域 ， 要 求 为 一 个 接口 
提供 一 个 附加 的 单 播 地 址 ， 用 于 更 新 、 通 知 和 区 域 传递 。 
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11.8 将 所 有 情况 整合 起 来 


在 本 章 我 们 给 出 许多 构造 块 场景 ， 解 决 处 理 各 种 配置 ， 每 种 配置 都 将 目标 锁定 在 
解决 一 个 特定 的 DNS 解析 目的 。 取 决 于 您 所 在 IP 网 络 的 尺寸 和 规模 ， 您 可 选择 为 您 
网 络 上 的 不 同 应 用 实现 几 种 构造 块 场景 。 仅 需要 记 住 ， 不 存在 真正 的 曲 奇 饼 成 型 刀 式 
的 答案 ; 这 些 场景 中 的 每 种 场景 都 应 该 依据 您 的 个 体 需 求 而 进行 评估 。 这 里 的 目的 是 
以 一 种 模块 化 的 形式 提供 一 些 指南 ， 以 便 帮 助 简化 整体 的 部 署 设计 过 程 。 

我 们 有 意 地 定义 这 些 场景 构造 块 中 的 每 个 构造 块 ， 它 们 具有 其 自己 的 离散 DNS 
服务 器 集合 。 这 种 基于 角色 的 方法 有 助 于 模块 化 ,但 也 有 助 于 排 错 和 管理 安全 策略 。 
比如 使 用 同一 台 服 务 器 处 理 内 部 和 外 部 解析 ， 这 是 一 种 方法 ， 与 此 方法 不 同 ， 将 这 些 
功能 隔离 在 多 人 台 服 务 咒 间 的 做 法 ， 则 提供 了 物理 上 的 和 功能 上 的 隔离 。 

多 数组 织 机 构 将 部 署 最 小 化 的 外 部 DNS 场景 (外 部 -外 部 分 类 ) 和 内 部 DNS (内 
部 -内 部 ) 构造 块 。 拥 有 合作 方 的 那些 组 织 机 构 也 添加 外 部 网 场景 ， 以 便 涵盖 进入 的 
和 外 发 的 查询 解析 。 因 特 网 缓存 服务 器 可 以 这 样 部 署 ， 即 支持 外 发 因特网 解析 的 汇聚 
集中 ， 并 随时 间 推 移 构建 形成 丰富 的 缓存 信息 。 可 依据 您 的 需要 ， 也 可 配置 视图 和 / 
或 任意 播 。 场 景 组 合 的 潜在 数量 是 无 穷尽 的 。 图 11-11 形象 地 展示 了 IPAM 全 球 公司 


整体 DNS 基础 设施 的 一 种 可 能 状态 。 
DMZ 2 
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图 11-11 IPAM 全 球 公 司 的 DNS 服务 器 部 署 
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12.1 DNS 弱点 


如 我 们 已 经 看 到 的 ，DNS 是 几乎 每 项 IP 网 络 应 用 可 用 性 的 基础 ， 这 些 应 用 从 网 
页 浏览 、 电 子 邮件 直至 多 媒体 应 用 等 。 使 DNS 服务 不 可 用 的 一 次 攻击 ， 或 攻击 对 包 
含 于 DNS 内 部 数据 完整 性 的 修改 ， 实 际 上 这 些 可 能 造成 一 项 应 用 或 网 络 的 不 可 达 。 
明显 的 是 ， 在 整个 解析 过 程 中 ， 对 DNS 数据 和 DNS 通信 的 保护 ， 是 至 关 重 要 的 。 本 
章 将 焦点 放 在 从 总 体 角 度 来 看 DNS 内 部 的 潜在 安全 弱点 上 。 特 定 的 DNS 服务 器 实现 
可 能 包含 其 他 弱点 ， 例 如 与 任何 网 络 服务 器 或 应 用 、 操 作 系 统 监 测 及 关联 的 软件 弱 
点 ， 这 是 一 个 基本 运行 过 程 。 

在 讨论 DNS 安全 弱点 时 ， 考 虑 DNS 内 的 数据 源 和 数据 流 ， 是 有 启发 指导 意义 的 ， 
如 图 12-1 所 示 。 从 图 的 右上 角 开 始 ，DNS 服务 器 最 初 被 配 有 配置 和 区 域 文件 信息 。 
这 个 配置 步骤 可 使 用 一 个 文本 编辑 器 或 一 个 IPAM 系统 来 实施 。 对 于 微软 的 实现 而 
A, “IPAM 系统 ”就 是 微软 管理 控制 台 (MMC)。 要 求 进行 服务 器 参数 和 相关 区 域 的 


DHCP 服务 器 IPAM 系统 


| 文件 
Ki 
日 志文 件 
缓存 
、 权威 的 DNS 站 | 配置 
o AAE 服务 器 (从属 N 和 


志文 件 


递归 的 DNS 权威 的 DNS 
解析 器 服务 器 


一 -一 一 通知 /区 域 传递 
DNS 配置 


图 12-1 DNS 数据 存储 和 更 新 源 [51 


对 于 BIND 实现 而 言 ， 这 个 配置 由 主 服务 器 上 一 个 named. conf 文件 和 关联 的 区 域 
文件 组 成 。 虽 然 一 台 服 务 器 可 能 是 一 些 区 域 的 主 服务 器 和 其 他 区 域 的 从 属 服务 器 ， 但 
我 们 将 使 用 主 服 务 器 术语 (terminology) 来 估计 一 个 特定 区 域 有 关 信 息 的 弱点 。 从 属 
服务 器 的 配置 仅 要 求 创建 配置 文件 ， 它 定义 了 服务 器 的 配置 参数 及 其 特定 区 域 的 权威 
权限 。 从 属 服务 器 将 区 域 信息 从 相应 主 服务 器 传递 过 来 。 
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区 域 信息 也 可 由 外 部 源 进行 更 新 ， 特 别 是 由 DHCP 服务 器 进行 更 新 。 动 态 更 新 可 
为 各 客户 端 接受 ， 这 些 客户 端 得 到 动态 IP 地址， 这 些 IP 地 址 要 求 进行 地 址 到 名 字 映 
射 的 DNS 更 新 。— 典 型 情况 下 ， 这 些 更 新 源 于 DHCP 服务 器 指派 地 址 的 过 程 ， 并 将 被 
定向 到 作为 给 定 区 域 主 服 务 器 的 服务 器 。 主 服务 器 将 该 更 新 添加 到 它 的 日 志文 件 ， 之 
后 会 将 更 新 通知 它 的 从 属 服务 器 ， 从 属 服务 器 可 能 请 求 一 次 增 量 式 的 区 域 传递 ， 以 便 
捕获 更 新 过 的 区 域 信息 。 

因此 ， 直 接 通过 区 域 文件 编辑 或 由 一 个 IPAM 系统 ， 并 通过 区 域 传递 和 动态 更 新 
的 方法 ， 可 在 一 台 名 字 服 务 器 上 配置 权威 区 域 信息 ， 得 到 几 个 潜在 的 数据 源 和 数据 更 
新 通信 路 径 。 

除了 配置 信息 和 区 域 文 件 外 ， 一 台 DNS 服务 器 内 的 第 三 个 信息 库 是 它 的 缓存 。 
通过 一 个 查询 解析 过 程 ， 积 累 得 到 缓存 信息 。 当 查询 答案 被 查找 和 接收 时 ， 相 应 的 答 
案 就 被 服务 器 缓存 。 被 缓存 的 信息 不 仅 可 从 DNS 协议 消息 的 答案 节 得 到 ， 而 且 可 从 
权威 节 和 附加 节 得 到 。 据 称 ， 这 些 节 提供 权威 服务 器 信息 和 对 答案 提供 补充 的 信息 。 
这 个 信息 可 包括 相关 区 域 的 权威 服务 器 以 及 与 查询 有 关 的 其 他 信息 (例如 一 条 NS 查 
询 的 A/AAAA“ 黏 结 ” 记 录 ) 。 

在 图 12-1 节 左 侧 开 始 的 查询 解析 流 ， 开 始 时 ， 客 户 端 解析 器 向 其 递归 服务 器 发 
起 一 条 递归 查询 。 回 顾 一 下 ， 要 查询 的 目标 服务 器 ， 是 定义 在 客户 端的 解析 器 配置 中 
的 、 人 工 管理 或 通过 DHCP 管理 的 。 必 要 情况 下 ， 北 归 服务 器 通过 域 树 将 发 出 迭代 查 
询 来 解析 查询 ， 一 般 情况 下 ,终止 于 一 台 服 务 器 ， 它 是 对 应 于 该 查询 区 域 的 权威 。 主 
服务 器 或 任何 从 属 服 务 器 是 带 有 区 域 信息 的 权威 服务 器 。 权 威 服 务 器 在 响应 的 附加 节 
中 ， 以 答案 和 可 能 的 有 关 信 息 做 出 应 答 。 一 般 情况 下 ， 和 解析 嚣 一样， 递归 服务 器 将 
缓存 这 个 信息 。 这 个 缓存 的 依据 是 用 于 类 似 的 未 来 查询 ， 以 便 改 进 解 析 性 能 。 所 以 确 
保 返 回 给 解析 器 和 递归 服务 器 ( 即 两 种 解析 器 一 一 在 客户 端 中 的 桩 解析 器 和 递归 服 
务 器 内 的 解析 器 ) 的 信息 的 数据 完整 性 是 重要 的 。 

现在 ， 让 我 们 研究 一 下 这 个 信息 和 通信 模型 的 弱点 。RFC 3833" 透彻 地 讨论 了 
DNS 协议 和 信息 完整 性 的 各 种 弱点 。 我 们 这 里 将 总 结 那些 弱点 以 及 一 些 其 他 的 弱点 ， 
之 后 研讨 缓解 策略 。 


12.1.1 解析 攻击 


(1) 报 文 截获 或 伪造 ( spoofing)。 像 其 他 客户 端 / 服 务 器 应 用 一 样 ，DNS 容易 受 
到 “中 间 人 ”攻击 ， 其 中 一 名 攻击 者 对 一 条 DNS 查询 做 出 响应 ， 给 出 错误 的 或 误导 
的 附加 信息 。 攻 击 者 伪造 DNS 服务 器 响应 ， 引 导 客 户 端 来 解析 并 缓存 这 个 信息 。 这 
可 能 导致 被 动 持 的 解析 器 因此 支持 应 用 到 不 正确 的 目的 地 (例如 网 站 )。 

(2) ID 猜测 或 查询 预测 。 另 一 种 形式 的 恶意 解析 是 ID 猜测 。 和 在 UDP 报 文 首 
部 ID 一 样 ，DNS 报 文 首 部 的 ID 字段 是 16bit 长 的 。 如 果 一 名 攻击 者 可 提供 带 有 正确 
ID 字段 和 UDP 端口 号 的 一 条 响应 ， 则 解析 器 将 接受 该 响应 。 这 会 使 攻击 者 能 够 提供 
伪造 的 结果 ， 其 中 假定 的 是 攻击 者 已 知 或 猜测 到 查询 类 型 、 类 和 名 字 。 这 种 攻击 可 洪 
在 地 将 主机 重 定向 到 一 个 违法 的 站 点 。 即 使 采用 蛮 力 攻击 方法 ， 猜测 一 个 2” 数 也 是 


P 
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相对 容易 的 。 

(3) 名 字 链 或 缓存 毒化 。 这 种 报 文 截获 类 型 攻击 的 特征 是 ， 一 名 攻击 者 通常 在 
DNS 响应 报 文 的 附加 节 或 甚至 权威 (Authority) 节 提 供 补充 解析 信息 ， 因 此 就 以 恶意 
的 查询 信息 对 缓存 实施 了 毒化 。 这 可 能 是 (例如) 尝试 伪造 一 个 流行 的 网 站 (例如 
cnn. com, google. com 或 类 似 域 名 ) ， 所 以 当 请 求 这 样 的 一 条 查询 时 ， 解 析 需 将 依赖 于 
这 种 伪造 的 缓存 信息 。 当 解析 器 被 请 求解 析 这 样 的 一 条 查询 时 ， 它 将 访问 其 缓存 ， 并 
利用 恶意 信息 ， 本 质 上 会 将 客户 端 重 定向 到 攻击 者 设计 的 (intended) 目的 地 。 强 迫 
解析 器 访问 被 毒化 缓存 数据 的 另 一 种 方法 ， 是 提供 一 个 电子 邮件 链接 ， 当 单 击 该 链接 
时 ， 将 会 解析 到 设计 好 的 被 毒化 的 主机 名 。 所 谓 的 Kaminsky DNS 弱点 就 是 一 种 缓存 
毒化 的 攻击 类 型 。 

(4) 解析 器 配置 攻击 。 在 客户 端 上 的 解析 器 必须 被 配置 至 少 一 个 DNS 服务 器 IP 
地 址 ， 可 向 该 地 址 发 出 DNS 查询 。 这 种 配置 可 按 如 下 进行 ， 人 工地 将 DNS 服务 器 IP 
地 址 硬 编码 到 TCPZIP 的 协议 栈 ， 或 通过 DHCP 或 PPP 自动 地 得 到 。 这 种 类 型 的 攻击 
也 可 能 源 于 一 名 攻击 者 ， 例 如 ， 它 通过 一 个 web 插件 发 起 的 。 这 种 类 型 的 攻击 寻求 将 
解析 器 重 定 向 到 一 名 攻击 者 的 DNS 服务 器 来 解析 到 恶意 数据 。 


12.1.2 配置 攻击 和 服务 器 攻击 


(1) 动态 更 新 。 通 过 尝试 到 服务 器 的 一 条 动态 更 新 ， 一 名 攻击 者 可 能 尝试 向 一 
个 DNS 区 域 中 注入 数据 或 修改 数据 。 这 种 类 型 的 攻击 ， 尝 试 将 来 自 客户 端 查 询 预期 
目的 地 的 解析 ， 重 定 问 到 一 个 攻击 者 指定 的 目的 地 。 

(2) 区 域 传递 。 冒 充 一 台 从 属 服务 器 ， 并 尝试 实施 从 一 台 主 服务 器 的 一 次 区 域 
传递 ， 这 种 做 法 是 这 样 一 种 形式 的 攻击 ， 它 尝试 映射 区 域 或 对 区 域 做 上 踪迹 。 即 通过 
识别 主机 到 IP 地 址 的 映射 以 及 其 他 资源 记录 ， 攻 击 者 尝试 识别 可 直接 攻击 的 目标 。 
使 用 主机 名 作为 一 个 提示 信息 (例如 “工资 表 ” (payroll) ) ， 来 攻击 一 台 特 定 主机 ， 
提供 尝试 访问 服务 或 拒绝 服务 (DOS) 的 一 个 简易 目标 。 

(3) 服务 右 配 置 。 一 名 攻击 者 会 尝试 得 到 运行 DNS 服务 器 的 物理 服务 器 的 访问 
权限 。 在 本 地 或 远程 访问 服务 器 时 ， 要 求 提 供 一 次 登录 和 口令 ， 对 于 对 抗 直接 服务 器 
访问 ， 高 度 推 荐 使 用 这 种 做 法 。 对 于 远程 访问 ， 也 推荐 使 用 安全 外 壳 (SSH), ME 
用 一 个 IPAM 系统 时 ， 验 证 IPAM 到 DNS 服务 器 间 的 通信 和 是 安全 的 。 除 了 能 够 算 改 命 
名 和 区 域 信息 外 ， 这 种 类 型 的 攻击 当然 可 使 用 服务 器 作为 其 他 目标 的 一 块 垫 脚 石 ， 特 
别 当 这 人 台 服 务 器 恰巧 为 内 部 所 信任 时 尤其 如 此 。 

(4) 控制 通道 攻击 。 对 nde 或 mde 通道 的 访问 ， 提 供 了 强大 的 远程 控制 能 力 ， 
例如 停止 /终止 进程 (named) 、 重 新 调和 人 一 个 区 域 等 。 访 问 控制 通道 ， 并 停止 服务 ， 
因此 就 拒绝 了 对 查询 服务 器 和 解析 器 的 服务 。 

(5) 缓冲 溢出 和 操作 系统 攻击 。 通 过 使 代码 执行 栈 或 缓冲 溢出 ， 一 名 攻击 者 可 
稚 试 得 到 对 服务 器 的 访问 。 在 没有 涉及 细节 的 情况 下 ， 这 样 一 种 攻击 调用 一 个 子 例 
程 ， 该 例 程 返回 到 由 攻击 者 定义 的 主 程序 中 的 一 个 点 。 这 是 几 种 类 似 0S (操作 系统 ) 
级 攻击 的 一 个 范例 ， 它 利用 的 是 DNS 服务 在 其 上 运行 的 0S 弱点 。 


216 IP 地 址 管理 原理 与 实践 


(6) 配置 错误 。 典 型 情况 下 ， 虽 然 不 是 恶意 的 〈 但 多 数 攻 击 是 从 内 部 源 发 起 
的 ) ，DNS 服务 和 /或 区 域 信 息 的 误 配 置 ， 会 导致 不 正确 的 解析 或 服务 器 行为 。 


12.1.3 拒绝 服务 攻击 


(1) 拒绝 服务 。 像 其 他 网 络 服务 一 样 ，DNS 对 于 拒绝 服务 攻击 也 是 脆弱 的 ， 这 
种 攻击 的 特征 是 ， 一 名 攻击 者 向 一 台 服 务 器 发 送 数 千 条 报 文 ， 硕 望 过 载 该 服务 器 ， 导 
致 它 的 月 演 或 对 其 他 查询 器 是 不 可 用 的 。 该 项 服务 就 成 为 不 可 用 的 ， 因 此 拒绝 对 其 他 
查询 器 的 查询 做 出 响应 。 

(2) 分 布 式 拒绝 服务 。 这 种 类 型 ( 指 上 一 条 所 提 到 的 ) 攻击 的 一 个 变种 是 ,使 
用 多 个 分 布 式 攻击 点 ， 被 称 作 分 布 式 拒绝 服务 (DDOS) 攻击 。 虽然 规 模 较 大 ,但 意 
图 是 相同 的 ， 可 能 潜在 地 影响 数 台 服务 器 。 

(3) 反射 器 攻击 。 这 种 形式 的 攻击 ， 尝 试 使 用 DNS 服务 器 对 一 个 特定 目标 发 起 
海量 的 数据 ， 因 此 拒绝 目标 机 器 的 服务 。 攻 击 者 向 一 台 或 多 台 DNS 服务 器 发 出 许多 
条 查询 ， 在 每 条 DNS 查询 中 使 用 目标 机 器 的 IP 地 址 作为 源 IP 地 址 。 对 带 有 大 量 数据 
的 记录 (例如 NAPTR, EDNSO 和 DNSSEC) 查询 ， 会 放大 这 种 攻击 。 每 台 做 出 响应 
的 服务 器 ， 均 以 目标 为 伪造 P 地 址 处 的 “请 求 者 ”， 以 大 量 数据 流 淹 没 这 个 目标 。 


12.2 缓解 方法 


在 下 表 中 总 结 了 解决 这 些 弱点 的 策略 。 一 般 而 言 ， 您 应 该 对 来 自 厂商 的 弱点 报告 
做 成 表格 ， 并 当 修正 和 升级 可 用 时 ， 实 施 修 正和 升级 。 对 隐藏 服务 咒 的 部 署 策略 ， 以 
及 一 般 而 言 的 部 署 基于 角色 的 DNS ARS at, FESS 11 章 中 所 讨论 的 攻击 的 缓解 方面 ， 
也 是 有 效 的 。 我 们 将 在 下 一 章 详 细 讨 论 DNSSEC。 

弱 点 缓解 措施 


DNSSEC 提供 了 这 个 弱点 的 有 效 缓解 措施 ,方法 是 提供 : 
1) 源 认证 :数据 源 的 验证 


报 文 劫持 /伪造 2 ) 数据 完整 性 验证 一 一 接收 到 的 数据 与 区 域 文件 中 发 布 的 数据 是 
相同 的 
3) 存 在 性 的 经 认证 的 拒绝 一 一 所 查找 的 资源 记录 不 存在 


DNSSEC 有 效 地 缓解 这 个 弱点 ;另外 ,BIND 9 对 DNS 首部 消息 ID 
做 随机 化 处 理 ,目的 是 降低 在 一 条 虚假 响应 中 猜测 其 值 的 概率 。 自 
2008 年 7 月 中 旬 起 ,BIND 也 在 外 发 查询 上 对 UDP 端口 号 做 随机 化 
处 理 ,目的 是 降低 这 个 弱点 的 风险 

为 了 阻止 这 些 弱 点 ,DNSSEC 提供 了 源 认 证 和 数据 完整 性 验证 ; 另 
外 ,BIND 对 缓存 和 附加 节 缓 存 激 活 和 清除 间隔 的 指令 (directive) 也 
是 有 帮助 的 ;事务 ID 和 UDP 端口 随机 化 也 有 助 于 降低 这 项 弱点 的 
风险 

通过 DHCP 来 配置 DNS 服务 器 ;为 了 查找 误 配 置 或 异常 ,检测 或 周 
期 地 审计 各 客户 端 


ID 猜测 /查询 预测 


解析 器 配置 攻击 
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( 续 ) 
弱 点 缓解 措施 
i 在 allow- update ,allow-notify .notify- source 上 使 用 ACL( 访问 控制 列 
韦 法 的 动态 更 天 on 
Paneer 表 ) 。 对 于 附加 的 源 认证 , ACL 也 可 定义 为 要 求 事务 签名 
A 上 事务 签名 a ;对 于 区 域 传 
违法 的 区 域 传递 在 allow-transfer 上 与 TSIC( 事务 签名 ) 一 起 使 用 ACL; X} 区 域 传 


ih, 使 用 transfer- source IP 地 址 .端口 使 用 一 个 非 标准 端口 

1) 使 用 隐藏 的 主 服务 器 来 禁止 对 区 域 主 服务 器 的 检测 

2) 在 主 服务 器 和 所 有 外 部 DNS 服务 器 上 禁止 ( disallow) 递归 查询 
服务 器 攻击 /支持 3 ) 使 服务 器 操作 系统 保持 最 新 
4) 限制 端口 或 控制 台 访问 权限 
5) 实施 chroot 
在 控制 语句 内 使 用 ACL, KA R HERE XIE mde 命令 ;要 求 mde 


控制 通道 攻击 
密 角 
缓冲 溢出 和 OS 级 攻击 保持 OS 最 新 ,限制 缓存 .附加 缓存 尺寸 ,并 定义 缓存 的 清除 间隔 


使 用 checkzone 和 checkconf 设施 工具 以 及 带 有 错误 检查 的 一 个 
IPAM 系统 ;如 果 需 要 的 话 ,为 重新 载 人 保持 新 的 备份 

1) 使 用 速率 限制 以 及 各 种 参数 ( 例如 recursive- clients , max- clients- 
per- query , transfers- in , transfers- per- ns , 缓存 和 附加 缓存 尺寸 ) 来 限制 
通信 

2) 考 虑 任意 播 部 署 

1 ) 使 用 allow- query/allow- recursion ACL 
反射 器 攻击 2) 如 果 合 适 的 话 ,使 用 视图 
3) 如果 可 能 的 话 , 在 查询 上 要 求 使 用 TSIG 


Named( 命名 的 ) 服务 误 配 置 


拒绝 服务 


12.3 非 DNSSEC 安全 记录 


我 们 将 在 下 一 章 讲解 DNSSEC， 但 以 讨论 其 他 面向 安全 的 资源 记录 类 型 对 DNS- 
SEC 安全 的 铺垫 一 章 (BASSE) 做 出 小 结 。 


12.3.1 TSIG 一 一 事务 签名 记录 


在 RFC 284502 中 定义 的 事务 签名 (TSIG) , 使 用 共享 秘密 密 钥 来 建立 两 个 DNS 
实体 (不管 是 两 台 服 务 器 或 一 台 客 户 端 和 一 台 服 务 器 ) 之 间 的 信任 关系 。TSIG 提供 
端点 认证 和 数据 完整 性 检查 ， 并 可 被 用 来 对 动态 更 新 和 区 域 传递 签名 。TSIG 密 钥 必 
须 被 安全 保护 ， 并 人 工地 配置 在 每 个 通信 端点 。 

通过 在 一 条 DNS 消息 的 附加 节 内 包括 一 个 元 资源 记录 类 型 “TSIG”， 就 可 使 用 
TSIG 密 钥 来 签名 一 个 事务 。 类 似 于 用 于 EDNS0 的 OPT 资源 记录 类 型 ， 一 条 元 资源 记 
录 被 用 来 在 一 次 查询 /解析 事务 过 程 中 传递 附加 信息 ， 且 不 包括 在 一 个 区 域 文 件 本 身 
之 中 。 如 此 ， 这 些 资源 记录 没有 被 缓存 ， 对 要 求 签名 的 消息 是 动态 计算 得 到 的 。 

TSIG 元 资源 记录 的 格式 如 下 : 
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属 主 TTL 类 类 型 RData 
算法 名 签名 时 间 漂移 时 间 MAC 尺寸 MAC 原始 


密 钥 名 TTL ANY TSIG A 5p moe ay 
ID 错误 其 他 数据 长 度 其 他 数据 
HMAC-MD5. SIG- ALG. REG. INT 23290332 600 32 
k1-k2 ipamww. com. 0 ANY TSIG 


p19:… 5076 0 0 


TSIG 元 记录 内 的 RData 字段 定义 如 下 。 

(1) 算法 名 。 以 域名 格式 表示 的 散 列 算法 名 。 当 前 由 IANA 定义 的 确定 算法 
如 下 。 

1) HMAC-MDS. SIG-ALG. REG. INT (HMAC-MD5) 。 

2) GSS-TSIG, 

3) HMAC-SHA1, 

4) HMAC-SHA224 , 
5) HMAC-SHA256, 

H 

H 


6) HMAC-SHA384, 

7) HMAC-SHAS12, 

(2) 签名 时 间 。 签 名 时 间 ， 是 自 1970 年 1 月 1 日 UTC (世界 标准 时 间 ) 时 间 以 
来 的 秒 数 。 

(3) 漂移 时 间 (fadge) 。 在 签名 时 间 字 段 内 允许 的 漂移 秒 数 。 

(4) MAC 尺寸 。 以 字 节 为 单位 表示 的 MAC KE, 

(5) MAC。 消 息 认证 码 ， 包 含 被 签名 消息 的 一 个 散 列 。 

(6) ELR ID, MIAME ID 号。 如果 一 条 更 新 被 转发 ， 则 被 转发 消息 中 的 消息 
ID 可 能 不 同 于 原始 消息 的 ID。 这 样 做 可 使 接收 者 在 重 构 原始 消息 过 程 中 ,利用 原始 
消息 ID 进行 签名 验证 。 

(7) 错误 。 对 TSIG 有 关 的 错误 编码 ( 见 表 9-1)。 

1) BADSIG: EAH, 

2) BADKEY: 未 知 密 钥 。 

3) BADTIME: 签名 的 时 间 超 出 漂移 范围 。 

(8) 其 他 数据 长 度 。 以 字 节 为 单位 表示 的 其 他 数据 节 的 长 度 。 

(9) 其 他 数据 。 除 非 错误 = BADTIME 情况 下 ， 为 空 。 在 错误 = BADTIME 时 ， 服 
务 器 将 在 这 个 字段 中 包括 它 的 当前 时 间 。 

基于 被 签名 的 消息 ， 构 造 TSIG 元 资源 记录 。 产 生 一 个 摘要 ， 方 法 是 将 指定 的 散 
列 算法 应 用 到 消息 ， 并 使 用 这 个 输出 作为 TSIG 资源 记录 的 消息 认证 码 字 段 。TSIG 元 
资源 记录 被 添加 到 DNS 消息 的 附加 节 中 。 


12.3.2 SIG (0) 一 一 涵盖 空 类 型 的 签名 记录 


事务 签名 的 另 一 种 形式 利用 了 SIG 资源 记录 的 一 种 特殊 情形 ， 它 是 作为 DNSSEC 
的 初始 形式 的 组 成 部 分 而 设计 的 。 后 来 它 被 DNSSECbis 中 的 RRSIG 资源 记录 所 替换 。 


第 12 章 保障 DNS 安全 (4) 219 


不 仅 如 此 ， 一 种 特殊 形式 的 SIG 资源 记录 可 独立 地 用 在 DNSSEC 中 ， 用 来 对 更 新 和 区 
域 传递 签名 。SIG 资源 记录 的 格式 如 下 所 示 。 

SIG (0) 表示 法 是 指使 用 涵盖 一 个 空 (BNO) 类 型 字段 的 SIG 资源 记录 。 另 外 ， 
RFC 2931" 建议 将 属 主 字 段 设 置 为 根 、TTL 为 0 和 类 为 ANY， 如 下 例 所 示 。 
属 主 TTL 类 类 型 RData 
算法 标签 ”原始 TIL 超期 ， 起 始 时 间 ” 密 钥 标 
名 者 ”签名 


0 3 3 86400 20080515133509 20080115133509 30038 ipam- 


ww. com. dq8o1… 


RRSet 域 TTL ANY SIG 


0 ANY SIG 


12.3.3 KEY 一 一 密 钥 记录 


KEY ( 密 钥 ) 记录 是 由 DNSSEC 的 最 初 定 义 确定 下 来 的 ， 但 后 来 由 DNSKEY 资 
源 记录 蔡 换 了 。 但 是 ， 同 时 在 SIG (0) 内 也 使 用 KEY 记录 来 识别 公开 密 钥 ， 以 其 对 
SIG (0) 内 的 签名 解码 。KEY 记录 与 DNSKEY 记录 有 相同 的 格式 。 


BE TTL 类 类 型 RData 
密 钥 名 TTL IN KEY 标志 协议 算法 AH 
K3941. ipamww. com. 86400 IN KEY 256 3 1 12S9X-wek8F(le--- 


12.3.4 TKEY 一 一 事务 密 钥 记 录 


虽然 RFC 2845"” 规范 了 TSIG 标准 ， 它 利用 共享 的 秘密 密 钥 ,但 它 没有 提供 
种 密 钥 分 发 或 维护 功能 。 为 了 支持 这 项 密 钥 维护 功能 ， 人 们 开发 了 事务 密 钥 (Tran- 
scation Key, TKEY) 元 资源 记录 。 这 个 过 程 开 始 时 ， 是 一 个 客户 端 或 服务 器 发 送 一 个 
签名 的 2TKEY 查询 ， 其 中 包括 任意 相应 的 KEY 记录 。 来 自 一 台 服 务 器 的 一 条 成 功 响 
应 ,将 包括 一 条 TKEY 资源 记录 ， 其 中 包括 一 个 合适 的 密 钥 。 取 决 于 在 TKEY 记录 中 
指定 的 模式 ， 现 在 双方 都 可 确定 共享 的 秘密 。 例 如 ， 如 果 指 定 Diffie-Hellman 模式 ， 
则 交换 Diffie- Hellman 密 钥 ， 双 方 推算 得 到 共享 的 秘密 ， 之 后 用 其 签名 带 有 TSIG 的 
消息 。 
TKEY 元 资源 记录 的 格式 如 下 : 

属 主 TTL 类 类 型 RData 

算法 名 ”开始 时 间 ”超期 时 间 ”模式 ”错误 “ 密 钥 
尺寸 ” 密 钥 数据 ”其 他 数据 长 度 ” 其 他 数据 

HMAC- MDS. SIG- ALG. REG. INT 23290332 233006564 
2 0 2048 9k)2… 0 


密 钥 名 TIL | ANY | TKEY 


k1-k2. ipamww. com 0 ANY | TKEY 


© ÆW, MÆ TSG 或 SIG (0) 中 一 样 签 名 ， 所 以 初始 条 件 下 需要 一 个 密 钥 ， 但 TKEY 提供 删除 或 
更 新 密 钥 的 一 种 方法 。 
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TKEY 元 记录 内 的 RData 字段 定义 如 下 。 

(1) 算法 名 。 以 域名 格式 表示 的 散 列 算法 名 。 由 IANA 定义 的 当前 确定 的 算法 
如 下 。 

1) HMAC-MD5. SIG- ALG. REG. INT (HMAC-MD5 ) 。 

2) GSS-TSIG, 

3) HMAC-SHA1, 

4) HMAC-SHA224, 
5) HMAC-SHA256, 

H 

H 


6) HMAC-SHA384, 

7) HMAC-SHAS12, 

(2) 开始 时 间 。 密 钥 有 效 性 开始 或 起 始 时 间 ， 以 自 1970 年 1 月 1 日 UTC 以 来 的 
秒 数 表示 。 

(3) 超期 时 间 。 密 钥 有 效 性 超期 或 终止 时 间 ， 以 自 1970 年 1 月 1 日 UTC 以 来 的 
秒 数 表示 。 

(4) 模式 。 密 钥 指派 的 形式 或 方案 ， 它 可 有 如 下 值 。 

1) 0= 保 留 。 

2) 1 = 服务 器 指派 。 

3) 2 = Diffie- Hellman 交换 。 

4) 3 = GSS-API 协商 。 

5) 4= 解 析 器 指派 。 

6) 5 = 密 钥 删除 。 

7) 6~65534 = 可 用 的 。 

8) 65535 = 保留 。 

(5) 错误 。 对 TKEY 有 关 的 错误 编码 ( 见 表 9-1) 。 

1) BADSIG: 无 效 密 钥 。 

2) BADKEY: 未 知 密 钥 。 

3) BADTIME, 签名 时 间 超 出 起 始 / 超 期 范围 。 

4) BADMODE: 指定 的 模式 不 支持 。 

5) BADNAME: 无效 密 钥 名 。 

6) BADALG: 指定 的 算法 不 支持 。 

(6) 密 钥 尺 寸 。 以 字 节 为 单位 的 密 钥 数据 尺寸 。 

(7) 密 钥 数据 。 即 密 钥 。 

(8) 其 他 数据 长 度 。 没 有 使 用 。 

(9) 其 他 数据 。 没 有 使 用 。 
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当 我 签署 一 封 信 或 支票 时 ， 本 质 上 我 在 以 我 的 签名 说 明 我 同意 和 授权 ”。 当 我 签 
署 更 重要 的 文档 时 ， 例 如 一 个 抵押 票据 ， 我 需要 核验 我 的 签名 ， 典 型 情况 下 是 通过 一 
个 公众 公证 人 完成 的 。 公 证 人 验证 我 的 身份 ， 他 也 核验 我 的 签名 ， 一 般 是 采取 这 样 的 
方法 : 将 签名 与 一 份 驾驶 执照 或 护照 签名 比 对 。 通 过 对 我 的 抵押 票据 盖 稚 ， 公 证 人 确 


发 挥 作用 。 一 个 解析 器 或 递归 服务 器 ， 代 表 一 个 桩 解析 器 ， 接 收 解析 数据 ， 还 有 该 数 
据 上 的 一 个 签名 。 只 要 我 信任 签名 人 ， 那 么 我 就 可 以 使 用 签名 来 验证 数据 。 信 任 的 元 
素 要 求 以 被 信任 密 钥 的 形式 ， 来 自 签名 人 的 信任 信息 的 某 种 初始 配置 ， 信 任 密 钥 被 用 
来 验证 所 接收 数据 的 签名 人 是 值得 信任 的 。 如 果 我 不 直接 信任 签名 人 ， 则 我 需要 查找 
签名 验证 ， 方 法 是 查找 我 信任 的 一 个 实体 ， 它 将 “担保 ”签名 人 。 不 但 我 的 抵押 公 
司 不 信任 我 ， 而 且 他 们 要 求 核验 我 的 签名 。 

DNS 安全 扩展 DNSSEC ， 最 初 是 在 RFC 2535! 中 定义 的 ， 后 来 被 修改 并 重新 命 
名 为 DNSSECbis， 是 在 RFC 4033 ~4035 呈 中 ,1 中 定义 的 。 这 次 重新 修改 是 由 于 原始 
规范 的 扩展 性 问题 。 虽 然 仍然 一 定 程度 得 到 改正 ，DNSSECbis 在 此 之 后 仍 被 简单 称 作 
DNSSEC， 它 提供 了 在 DNS 内 对 解析 数据 源 的 认证 以 及 验证 那个 数据 完整 性 的 方法 。 
DNSSEC 也 提供 了 一 种 认证 DNS 数据 不 存在 的 方法 ， 这 也 允许 对 “没有 找到 ”解析 
(例如 NXDOMAIN) 实施 签名 。 因 此 ，DNSSEC 支持 对 报 文 劫持 检测 ID 猜测 和 对 解 
析 数 据 和 “没有 找到 ”解析 的 缓存 毒化 攻击 。DNSSEC 通过 使 用 非 对 称 公 开 密 钥 密码 
学 技术 来 提供 这 些 服务 ， 实 施 数据 原始 认证 和 端 到 端 数据 完整 性 验证 。 


13.1 数字 签名 


我 们 在 第 10 章 DKM 的 上 下 文中 ,介绍 了 数字 签名 产生 和 验证 的 概念 和 过 程 ， 
但 在 这 里 出 于 方便 查看 的 目的 ， 我 们 将 简短 地 回顾 一 下 。 数 字 签 名 使 一 个 给 定数 据 集 
的 源 发 者 ， 使 用 一 个 私有 密 钥 对 数据 签名 ， 从 而 使 接收 数据 和 签名 ， 以 及 用 于 解密 签 
名 的 一 个 对 应 公开 密 钥 的 那些 接收 方 ， 可 实施 数据 源 发 和 完整 性 验证 。DNSSEC 使 用 
一 个 非 对 称 密 钥 对 〈 私 有 密 钥 / 公 开 密 钥 ) 模型 。 在 这 样 一 个 模型 中 ， 采 用 一 个 私有 
密 钥 签名 的 数据 可 通过 采用 对 应 的 公开 密 钥 对 数据 解密 的 方法 ， 来 加 以 验证 。 私 有 密 
钥 和 公开 密 钥 形成 一 对 密 钥 。 从 概念 上 来 说 ， 私 有 /公开 密 钥 对 为 公开 密 钥 的 持 有 者 
提供 了 验证 数据 的 一 种 方法 ， 该 数据 是 使 用 相应 的 私有 密 钥 签名 的 。 这 提供 了 数据 确 


”这 个 基本 介绍 来 自 参考 文献 [11] 的 第 9 章 ， 其 中 的 高 层 描述 在 本 章 得 到 了 比较 详细 的 扩展 讨论 。 
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实 是 由 私有 密 钥 持 有 者 签名 的 认证 。 数 字 签 名 也 支持 这 样 的 验证 ， 即 所 接收 的 数据 匹 
配 发 布 的 数据 ， 且 在 中 转 过 程 没 有 被 算 改 。 

见 图 13-1， 数 据 源 发 者 ， 如 图 左 侧 所 示 ， 产 生 一 个 私有 密 钥 /公开 密 钥 对 ， 并 利 
用 私有 密 钥 对 数据 签名 。 签 名 数据 的 第 一 步 是 产生 该 数据 的 一 个 散 列 ， 有 时 也 被 称 作 
一 个 摘要 。 散 列 函 数 是 一 种 单 向 函数 9? ， 它 将 数据 扰乱 成 一 个 固定 长 度 的 字符 串 ， 以 
便 进 行 比较 简单 的 操作 运算 ， 并 代表 数据 的 一 个 “指纹 ”。 这 意味 着 ， 要 想 另 一 个 数 
据 输入 可 产生 相同 的 散 列 值 ， 是 非常 不 可 能 的 情况 。 因 此 ， 散 列 通 常 被 用 作 检 验 和 ， 
但 不 提供 任何 原始 认证 (知道 散 列 算法 的 任何 人 均 可 简单 地 对 任意 数据 执行 散 列 运 
算 ) 。 常 见 的 散 列 算法 包括 HMAC-MD5、RSA-SHA-1 和 RSA-SHA-256。 使 用 私有 密 
钥 对 散 列 值 进行 加 密 ， 产 生 签名 。 加 密 算 法 以 散 列 值 和 私有 密 钥 为 输入 ， 产 生 签名 。 


实施 签名 传输 验证 


Qib es 9 一 一 H( 数 据 ) 


图 13-1 数字 签名 产生 和 验证 过 程 [1 


数据 及 其 相关 联 的 签名 被 传输 到 接收 者 。 注 意 数 据 本 身 没有 被 加 密 ， 仅 简单 地 被 
签名 。 接 收 者 必须 可 访问 公开 密 钥 ， 它 对 应 于 用 来 签名 数据 的 私有 密 钥 。 在 一 些 情形 
中 ,使 用 一 个 安全 的 (被 信任 ) 公开 密 钥 分 发 系统 (例如 公开 密 钥 基础 设施 
(PKI) ) ， 使 公开 密 钥 是 可 用 的 。 在 DNSSEC 的 情形 中 , 在 DNS 内 发 布 公 开 密 钥 ， 除 
此 外 ， 还 有 解析 信息 和 对 应 的 签名 。 

就 和 数据 源 发 者 一 样 ， 接 收 者 计算 所 接收 数据 的 一 个 散 列 值 。 通 过 使 用 源 发 者 的 
公开 密 钥 ， 接 收 者 将 加 密 算法 施用 到 接收 到 的 签名 。 这 种 运算 是 签名 产生 过 程 的 反 过 
程 ， 并 产生 原始 数据 散 列 作为 它 的 输出 。 这 种 解密 的 输出 ， 即 原始 数据 散 列 值 ， 和 接 
收 者 对 数据 计算 出 的 散 列 进行 比较 。 如 果 相 匹配 ， 则 数据 没有 被 修改 ， 是 私有 密 钥 持 
有 者 对 数据 进行 的 签名 。 如 果 私 有 密 钥 持 有 者 可 被 信任 ， 则 认为 数据 是 经 过 验证 的 。 


BAB 


13.2 DNSSEC 综述 


DNSSEC 利用 这 种 非 对 称 密 钥 对 的 密码 学 算法 ， 提 供 数据 源 发 认证 和 端 到 端 数据 
完整 性 确认 。 伪 造 或 沿路 到 目的 地 算 改 数据 的 任何 尝试 ， 都 将 被 接收 者 检测 到 ， 这 种 
接收 者 是 解析 器 ， 或 比较 典型 情况 下 ， 是 代表 其 自身 的 递归 /缓存 DNS 服务 器 。 这 种 
功能 特征 ， 使 DNSSEC 针对 中 间 人 和 缓存 毒化 攻击 而 言 ， 成 为 一 项 有 效 的 缓解 策略 。 

原始 DNSSECbis 规范 没有 考虑 一 种 安全 的 密 钥 分 发 系统 ， 所 以 一 个 或 多 个 被 信 


”一 个 单 向 函数 意味 着 ， 不 能 从 散 列 值 唯一 地 得 到 原始 数据 。 即 人 们 可 将 一 个 算法 施用 ， 产 生 散 列 
值 ， 但 不 存在 反 向 算法 ， 可 在 散 列 值 上 实施 ， 得 到 原始 数据 。 
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任 密 钥 必须 人 工地 配置 在 解析 器 或 递归 名 字 服 务 器 上 2?。 但 是 ， 一 个 后 来 的 规范 ， 
RFC 50110 定义 了 方便 这 个 过 程 的 一 种 方法 ,方法 是 依据 一 个 手工 配置 的 初始 密 
钥 ， 认 证 新 的 和 撤销 的 信任 密 钥 。 这 个 初始 密 钥 用 作 “ 初 始 条 件 ”， 用 在 随 新 密 钥 、 
撤销 密 钥 和 删除 密 钥 的 时 间 向 前 推移 而 推进 的 过 程 。 稍 后 我 们 将 讨论 这 个 自动 化 的 信 
任 密 钥 更 新 过 程 。 无 论 是 人 工 配 置 的 或 是 自动 更 新 的 ， 每 个 信任 密 钥 均 识别 对 应 于 一 
个 给 定 信任 区 域 的 公开 密 钥 ， 该 区 域 由 区 域 管理 员 授权 的 。 

这 类 似 于 银行 公证 人 ， 银 行 信 任 他 来 验证 我 的 身份 。 毕 竟 ， 任 何 冒 名 顶替 者 均 可 
以 用 一 个 私有 密 钥 签名 无 效 (非法 ) 的 区 域 数 据 ， 并 发 布 对 应 的 数据 、 签 名 和 公开 
密 钥 。 因 此 ， 递 归 服 务 器 必须 预先 配置 一 个 密 钥 或 一 组 密 钥 ， 它 们 是 被 信任 的 ， 对 应 
于 被 信任 的 签名 区 域 。 信 任 区 域 管理 员 所 用 的 当前 公开 密 钥 ， 必 须 以 带 外 方式 传输 到 
解析 器 管理 员 ， 或 使 用 DNS 之 外 的 一 种 机 制 做 到 这 点 。 采 用 刚才 提 到 的 自动 密 钥 更 
新 过 程 ， 针 对 每 个 信任 区 域 ， 必 须 配 置 一 个 初始 密 钥 ; 但 是 ,使 用 DNS 协议 可 实施 
不 断 进行 的 密 钥 更 新 。 

一 个 给 定 的 信任 区 域 可 认证 一 个 子 区 域 的 公开 密 钥 ， 将 信任 模型 从 仅仅 是 信任 区 
域 扩展 到 信任 区 域 及 其 所 认证 的 子 区 域 。 类 伏地 ， 这 些 子 区 域 可 认证 它们 的 子 区 域 
等 ， 这 样 就 从 信任 区 域 到 所 有 签名 的 委派 区 域 形成 了 一 个 信任 链 。 随 着 现在 因特网 根 
区 域 被 签名 、 大 型 TLD 被 签名 或 很 快 会 被 签名 ， 则 信任 链 将 从 根 信 任 锚 点 发 出 到 
TLD， 沿 域 树 向 下 到 较 低层 次 的 被 签名 区 域 。 

信任 密 钥 的 配置 ， 要 求 一 名 区 域 管理 员 得 到 他 的 /她 的 公开 密 钥 ， 产 生 一 个 信任 
关系 。 采 用 一 个 被 签名 的 根 和 和 TLD (多 个 TLD )， 这 种 做 法 简化 了 信任 模型 ， 这 要 求 
信任 根 区 域 和 根 区 域 信任 错 点 的 配置 。 作 为 替代 (实际 上 作为 后 者 的 祖先 之 一 ， 即 先 于 
后 者 ) 使 用 根 区 域 密 钥 ，ISC 也 构造 了 一 个 信任 的 密 钥 注册 机 制 ( dlv. ise. org) ， 作 为 注 
册 域 的 被 信任 密 钥 的 一 个 库 ， 这 种 做 法 支持 作为 一 个 “ 父 区 域 代理 ”过 程 中 的 “ 旁 查 ” 
(lookaside) 验证 ， 这 降低 了 对 每 个 域 管 理 员 形成 个 体 关 系 的 外 部 需求 影响 。 
虽然 DNSSEC 规范 没有 明确 要 求 ， 但 从 运营 经 验 得 到 这 样 的 建议 ， 即 每 个 区 域 使 
用 两 个 密 钥 ， 一 个 区 域 签 名 密 钥 (ZSK) 和 一 个 密 钥 签名 密 钥 (KSK)2 。 如 我 们 后 面 
将 看 到 的 ， 这 加 速 了 复杂 密 钥 轮转 (rollover) 进程 ， 同 时 在 密 钥 长 度 安全 性 和 复杂 
性 ， 与 依据 需求 灵活 改变 区 域 签名 秘密 之 间 做 出 了 折 中 。 此 时 ， 可 以 说 ，ZSK 被 用 于 
区 域内 部 签名 数据 ，KSK 是 一 个 较 长 期 的 密 钥 ， 用 其 签名 ZSK。ZSK 和 KSK 均 由 一 
个 公开 密 钥 和 私有 密 钥 对 组 成 。 私 有 密 钥 被 用 来 签名 区 域 信 息 ， 必 须 是 得 到 安全 保障 
的 ， 理 想 情况 下 ， 位 于 一 台 安 全 的 服务 器 或 主机 之 上 。 对 应 的 公开 密 钥 ， 是 以 DNS- 
KEY 资源 记录 的 形式 在 区 域 文件 内 发 布 的 。 

被 信任 区 域 的 公开 KSK 是 配置 在 每 台 递归 服务 器 上 的 信任 密 钥 ” ， 它 应 该 匹配 发 


”从 实用 主义 角度 而 言 ， 术 语 “ 解 析 器 ”在 DNSSEC 上 下 文中 是 指 递归 服务 器 的 解析 器 功能 ， 它 也 解析 被 
查询 的 信息 ， 验 证 签名 。 考 虑 第 11 章 中 我 们 的 实施 例 ， 因 特 网 缓存 服务 器 将 执行 这 项 签名 验证 功能 。 

© 在 RFC464109]1 中 讨论 了 这 个 建议 的 动机 以 及 其 他 DNSSEC 运营 实务 的 讨论 。 

© “一 个 信任 密 钥 与 一 个 信任 锚 点 是 同 义 的 ， 它 也 被 称 作 DNS 域 树 中 的 安全 入 口 点 (SEP) 。 
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布 于 相应 区 域 文件 中 的 对 应 KSK DNSKEY 资源 记录 。 使 用 区 域 的 ZSK 来 验证 被 解析 
数据 的 签名 ， 被 信任 的 KSK 对 ZSK 签名 ， 并 由 此 可 对 ZSK 的 签名 进行 验证 。 

如 果 不 信任 这 个 KSK， 则 尝试 检查 父 区 域 是 否 被 签名 ， 或 旁 查验 证 是 否 配置 。 如 
果 被 签名 ， 则 这 个 父 区 域 (或 旁 查 注 册 机 制 ) 将 其 到 子 节点 的 委派 实施 签名 ， 方 法 
是 以 父 区 域 中 一 条 委派 签名 者 (DS) 记录 (或 DNSSEC 旁 查验 证 ，DLV 记录 ) 的 形 
式 ， 对 子 区 域 的 公开 KSK 签名 。 接 下 来 这 个 委派 是 以 父 区 域 的 ZSK 签名 的 ， 而 ZSK 
自己 是 以 父 区 域 的 KSK 签名 的 。 同 样 ， 如 果 这 些 签名 是 有 效 的 ， 且 KSK 匹配 一 个 信 
任 密 钥 ， 则 解析 是 完备 的 和 安全 的 。 和 否则， 该 过 程 继续 到 父 区 域 的 父 区 域 等 。 

验证 过 程 沿 信任 链 向 上 ， 直 到 遇 到 一 个 匹配 的 信任 密 钥 ， 如 果 找 到 这 样 的 一 个 密 
钥 ， 则 认为 解析 数据 是 经 过 核验 的 (validated)。 否 则 ， 它 将 将 被 认为 是 不 安全 的 。 


13.3 配置 DNSSEC 


实现 DNSSEC 的 过 程 涉及 生成 私有 /公开 密 钥 对 、 将 公开 密 钥 信息 添加 到 要 被 签 


名 的 区 域 文 件 、 以 对 应 的 私有 密 钥 对 区 域 签 名 和 将 公开 KSK 信息 分 发 到 父 区 域 管理 
员 或 解析 器 管理 员 ， 这些 人 信任 您 和 您 的 区 域 信息 。 图 13-2 形象 地 说 明了 基本 过 程 。 


将 密 钥 添加 ee 
对 区 域 签名 分 布 到 父 区 


图 13-2 ”基本 的 DNSSEC 实现 步骤 i11] 
现在 让 我 们 形象 地 说 明 这 个 基本 过 程 ， 检 查 人 研究 一 下 实现 DNSSEC 的 机 制 。 我 们 
使 用 人 工 的 和 自动 的 ?BIND 方法 和 工具 :来 形象 地 说 明 该 过 程 ， 如 今 这 些 方法 和 工 
具 支 持 DNSSECbis。 微 软 在 其 Windows Server 2008 R2 发 行 版 中 支持 DNSSECbis。 在 比 
较 详细 地 回顾 这 些 步骤 之 后 ， 通 过 签名 ipamworldwide. com 区 域 文件 ， 我 们 将 展示 说 
明 DNSSEC 的 实现 。 


13.3.1 产生 密 钥 


我 们 的 第 一 步 是 产生 密 钥 ,将 用 其 对 我 们 的 区 域 信息 签名 。BIND 发 行 时 带 有 
dnssec-keygen 设施 工具 ， 它 提供 了 产生 一 个 私有 /公开 密 钥 对 的 一 个 简单 命令 行 。 它 
甚至 生成 DNSKEY 记录 。 为 了 生成 我 们 的 ipamworldwide. com 区 域 的 一 个 ZSK 密 钥 对 ， 
我 们 使 用 dnssec- keygen 命令 : 

dnssec-keygen-a RSA-SHA-1-b 1024-n ZONE-c IN-e ipamworldwide. com 

这 个 设施 工具 不 仅 用 来 生成 DNSSEC 密 钥 ， 而 且 可 用 来 生成 TSIG 密 钥 和 KEY 记 
录 。 除 非 明确 指定 ， 所 有 参数 都 是 可 选 的 ， 在 dnssec-keygen 设施 工具 内 的 参数 包括 
如 下 内 容 。 


© BIND 9.7.0 引 入 了 几 项 新 的 密 钥 和 签名 管理 功能 特征 ， 以 其 使 这 些 步骤 自动 化 ， 就 和 我 们 将 要 描 
述 的 情形 一 样 。 
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(1) -a 算 法 : (必需 的 ) HP DNSSEC 密 钥 的 算法 可 以 是 如 下 内 容 。 

1) RSA-SHA-1, 

2) RSA-SHA-256, 

3) RSA-SHA-512, 

4) NSEC3-RSA-SHA-1 ( 带 有 一 个 符号 (signal) AY RSA-SHA-1 算法 ， 指 明 以 这 
个 密 钥 签 名 的 区 域 可 使 用 NSEC3 ) 。 

5) DSA (数字 签名 算法 ) 。 

6) NSEC3DSA ( 带 有 一 个 符号 (signal) 的 DSA 算法 ， 指 明 以 这 个 密 钥 签名 的 区 
域 可 使 用 NSEC3 ) 。 

7) RSA- MD5, 

(2) -b 密 钥 尺寸 : (必需 的 ) 指定 了 密 钥 中 的 比特 数 。 每 种 算法 的 有 效 密 钥 尺 
寸 如 下 。 

1) RSA-SHA 密 钥 。512 ~ 2048bit。 

2) DSA 密 钥 。512 ~ 1024bit， 可 被 64 整除 。 

(3) -n 名字 类 型 : (必需 的 ) 识别 密 钥 属 主 的 类 型 。 有效 值 包括 ZONE (对 于 
DNSKEY 是 默认 的 ) 、HOST、ENTITY、USER 或 OTHER, 

(4) -3: 使 用 支持 NSEC3 的 密 钥 产生 算法 (如 果 指 明 没有 -a 参数 ， 则 使 用 
NSEC3-RSA-1) 。RSA-SHA-256 和 RSA-SHA-512 也 是 支持 NSEC3 的 。 

(5) -A 日 期 / 偏 移 : 设置 密 钥 的 激活 日 期 。 当 表示 为 YYYYMMDD 或 YYYYMM- 
DDHHMMSS 格式 (或 没有 设置 时 为 none (无 )) 时 ， 日 期 / 偏 移 字段 是 一 个 绝对 日 期 
/时 间 ; 或 当 以 这 些 日 期 格式 之 一 带 有 一 个 “+ ”或 “-” 前 缀 时 ， 这 时 日 期 / 偏 移 
字段 是 一 个 距离 当前 时 间 的 一 个 偏 移 。 当 没有 设置 时 ， 且 -G 也 没有 设置 时 ， 默 认 是 
“now”( 现 在 时 间 ) 。 

(6) -C: 产生 私有 密 钥 的 选项 ， 前 提 条 件 是 没有 有 关 生 成 、 发 布 和 /或 激活 日 期 
的 任何 元 数据 ， 这 可 能 与 较 老 的 BIND 版 本 不 兼容 。 

(7) -c 类 : 包含 该 密 钥 的 DNS 资源 记录 的 类 。 

(8) -D 日 期 / 偏 移 : 定义 了 这 个 密 钥 从 这 个 区 域 被 删除 时 的 日 期 或 距离 当前 时 
间 的 偏 移 。 当 表示 为 YYYYMMDD 或 YYYYMMDDHHMMSS 格式 (或 没有 设置 时 为 
none (无 )) 时 ， 日 期 / 偏 移 字 段 是 一 个 绝对 日 期 /时 间 ; 或 当 以 这 些 日 期 格式 之 一 带 
有 一 个 “+ ”或 “-” 前 缀 时 ， 这 时 日 期 / 偏 移 字段 是 一 个 距离 当前 时 间 的 一 个 偏 
移 。 在 指定 时 间 ， 该 密 钥 将 从 区 域 被 清除 ， 但 它 将 保留 在 密 钥 库 中 。 

(9) -e: 当 使 用 RSA- MD5 或 RSA-SHA-1 算法 时 ,使 用 一 个 大 指数 的 命令 选项 。 

(10) -E 518. 使 用 密码 学 硬件 (OpenSSL 引擎 ) 用 于 随机 数 生成 和 当 支 持 密 钥 
生成 时 的 命令 选项 。 当 采用 PKCS#11 支持 进行 编译 时 ， 默 认为 pkcs11， 和 否则 为 none 
(无 ) 。 

(11) -f 标 志 : 在 DNSKEY (SK KEY) 资源 记录 中 设置 标志 字段 ; 目前， 标志 = 
KSK 被 用 来 产生 一 个 KSK (在 DNSKEY 记录 中 设置 SEP 比特 ) ; 标志 = REVOKE 将 为 
这 个 密 钥 设置 撤销 标志 。 
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(12) -g 生成 器 : 为 DH 算法 指定 一 个 密 钥 生成 器 值 。 

(13) -G: 生成 一 个 密 钥 ， 它 不 用 于 发 布 或 用 来 签名 。 

(14) -h: 打印 这 条 命令 的 一 个 帮助 (help) WE, 

(15) -I 日 期 / 偏 移 : 设置 密 钥 退役 (retired) 时 的 日 期 / 偏 移 。 当 表示 为 
YYYYMMDD 或 YYYYMMDDHHMMSS 格式 (或 没有 设置 时 为 none (无 )) 时 ， 日 期 / 
户 移 字段 是 一 个 绝对 日 期 /时 间 ; 或 当 以 这 些 日 期 格式 之 一 带 有 一 个 “+” 或 “-” 
前 缀 时 ， 这 时 日 期 / 偏 移 字 段 是 一 个 距离 当前 时 间 的 一 个 偏 移 。 当 退役 时 ， 密 钥 保 留 
在 区 域 中 ,但 不 再 用 来 对 区 域 签名 。 

(16) -k: 指明 要 产生 的 是 一 条 KEY 记录 ， 而 不 是 DNSKEY 记录 ; 为 了 使 用 -T 
选项 ， 这 个 选项 被 废弃 了 。 

(17) -K Ak: 定义 了 密 钥 文件 将 被 放置 于 其 中 的 目录 。 

(18) -p 协议 : 设置 资源 记录 中 的 协议 字段 。 对 于 DNSSEC， 使 用 默认 值 3。 

(19) -P 日 期 / 偏 移 : 设置 密 钥 在 区 域 文 件 中 发 布 (但 并 不 用 来 对 区 域 签 名 ) 的 
日 期 / 偏 移 。 当 表示 为 YYYYMMDD 或 YYYYMMDDHHMMSS 格式 (或 没有 设置 时 为 
none (无 )) 时 ， 日 期 / 偏 移 字 段 是 一 个 绝对 日 期 /时 间 ; 或 当 以 这 些 日 期 格式 之 一 带 
有 一 个 “+ ”或 “- ”前 缀 时 ， 这 时 日 期 / 偏 移 字 段 是 一 个 距离 当前 时 间 的 一 个 
局 移 。 

(20) -q: 静默 模式 ， 这 种 模式 抑制 输出 ， 包 括 指明 进度 的 信息 。 

(21) -r 随 机 源 : 指明 一 个 源 或 随机 数据 ,例如 一 个 文件 或 字符 设备 (例如 键 
盘 ) 。 

(22) -R 日 期 / 偏 移 : 定义 密 钥 被 撤销 时 的 日 期 。 当 表示 为 YYYYMMDD 或 
YYYYMMDDHHMMSS 格式 (或 没有 设置 时 为 none (无 )) 时 ， 日 期 / 偏 移 字段 是 一 个 
绝对 日 期 /时 间 ; 或 当 以 这 些 日 期 格式 之 一 带 有 一 个 “+ ”或 “- ”前 缀 时 ， 这 时 日 
期 / 偏 移 字段 是 一 个 距离 当前 时 间 的 一 个 偏 移 。 当 撤销 时 ， 在 相应 DNSKEY 资源 记录 
中 设置 “撤销 ”比特 ， 但 密 钥 将 保留 在 区 域 中 并 被 用 来 对 区 域 签 名 。 

(23) -s 强度 : 指定 密 钥 的 强度 值 ， 但 不 与 DNSSEC 相关 。 

(24) -t 类 型 : 指明 使 用 密 钥 来 认证 数据 (AUTH) 和 /或 加 密 数 据 (CONF ) 。 
AUTHCONF 支持 这 两 项 功能 ,但 NOAUTH、NOCONF 和 NOAUTHCONF 不 支持 对 应 的 
功能 。 

(25) -T rtype: 以 资源 记录 格式 指明 公开 密 钥 产生 所 用 的 RRType, rrtype 的 有 
效 值 包括 DNSKEY (默认 ) 或 KEY。 

(26) -v 等 级 : 设置 debug (调试 ) 等 级 。 

(27) BHK: (必需 的 ) 密 钥 的 名 字 ， 一 般 而 言 是 区 域名 ， 它 可 用 作 DNSKEY 
记录 的 属 主 字段 。 

五 个 基于 日 期 / 偏 移 的 选项 在 BIND 9.7.0 中 是 新 的 ， 并 为 所 生成 的 密 钥 提 供 定 时 
的 元 数据 ， 因 此 提供 了 在 区 域 签名 过 程 中 被 使 用 的 时 间 信 息 。 因 此 ， 在 密 钥 的 整个 生 
命 周 期 中 ， 密 钥 可 被 分 阶段 并 轮转 (coll) 使 用 ， 生 命 周 期 由 在 区 域 中 发 布 的 、 用 于 
签名 区 域 信息 、 撤 销 、 退 役 和 删除 等 阶段 组 成 。 在 一 个 密 钥 的 生命 周期 中 ， 对 这 些 选 


第 13 章 保障 DNS 安全 (F): DNSSEC 227 


项 及 其 用 途 进 行 简要 描述 ， 如 下 。 

(1) -P。 定 义 所 生成 密 钥 在 区 域 文件 中 发 布 的 时 间 ， 但 在 签名 中 不 使 用 该 密 钥 。 

(2) -A。 定 义 激活 时 间 ， 这 是 所 产生 密 钥 被 用 于 签名 区 域 数据 的 时 间 。 如 果 这 
是 一 个 KSK， 有 日 update- check-ksk 选项 设置 为 是 ， 则 这 个 密 钥 将 仅 签名 DNSKEY RR- 
Set。 和 否则 ， 它 将 被 用 来 签名 所 有 的 区 域 RRSet， 这 就 允许 单一 区 域 密 钥 实施 的 情形 
出 现 。 

(3) -R。 定 义 这 个 密 钥 被 撤销 的 时 间 。 这 就 定义 了 撤销 标志 将 被 设置 在 相应 的 
DNSKEY 记录 中 的 日 期 。 这 个 密 钥 ( 带 有 设置 好 的 撤销 比特 ) 将 仍然 被 用 来 签名 区 
域 文件 ， 但 解析 器 将 被 通知 “这 个 密 钥 被 撤销 了 ”。 

(4) -I。 定 义 该 密 钥 的 退役 时 间 ， 在 此 时 间 之 后 ， 这 个 密 钥 将 不 被 用 来 签名 区 域 
数据 ， 但 它 将 保留 在 区 域 文 件 中 。 

(5) -D。 定 义 密 钥 将 从 区 域 文件 中 删除 的 时 间 。 

这 些 定时 (timing) 选项 使 您 能 够 在 密 钥 生 成 时 就 定义 整个 密 钥 生命 周期 ! 

另 一 种 密 钥 文件 生成 设施 工具 ， 首 次 被 包括 在 BIND 9.6.0 发 行 版 之 中 ， 它 允许 
使 用 PKCS#11° API 与 一 个 密码 学 令 牌 生成 硬件 设备 接口 。 dnssec- keyfromlabel 设施 工 
具 从 密码 学 硬件 设备 得 到 密 钥 ， 并 生成 公开 密 钥 和 私有 密 钥 文件 。 这 个 工具 有 如 下 参 
数 ， 和 dnssec- keygen 的 格式 完全 相同 ， 增 加 了 一 个 新 的 必 备 参数 ， 指 明 密 钥 标 签 。 

(1) -a 算法 : ( 必 备 ) 与 dnssec-keygen 的 值 相同 。 

(2) -3: 与 dnssec-keygen 的 含义 相同 。 

(3) -c 类 : 与 dnssec-keygen 的 值 相 同 。 

(4) -C-: 与 dnssec-keygen 的 含义 相同 。 

(5) -E 引擎 与 dnssec-keygen 的 值 相同 。 

(6) -f 标志 : 与 dnssec-keygen 的 值 相 同 。 

(7) -G: 与 dnssec-keygen 的 含义 相同 。 

(8) -C-: 与 dnssec-keygen 的 含义 相同 。 

(9) -h; 与 dnssec-keygen 的 含义 相同 。 

(10) -k: 与 dnssec-keygen 的 含义 相同 。 

(11) -K 目录 : 与 dnssec-keygen 的 含义 相同 。 

(12) -1 标签 : ( 必 备 ) 在 PKCS#11 设备 上 的 密 钥 标签 。 

(13) -n 名 字 类 型 : 与 dnssec-keygen 的 值 相同 。 

(14) -p 协议 : 与 dnssec-keygen 的 值 相 同 。 

(15) -t 类 型 ,与 dnssec-keygen 的 值 相同 。 

(16) -v 等 级 : 与 dnssec-keygen 的 值 相同 。 

(17) -y: 即使 密 钥 ID 与 一 个 现 有 密 钥 冲 突 ， 也 人 允许 产生 DNSSEC 密 钥 文件 。 

(18) 密 钥 名 : ( 必 备 )。 

也 支持 上 面 讨论 的 元 数据 定时 选项 。dnssec-keygen 和 dnssec-keyfromlabel 都 返回 


O PKCS#11 是 公开 密 钥 密码 学 标准 家 族 的 一 员 ， 该 标准 由 RSA 实验 室 发 布 。 
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密 钥 名 。 在 我 们 的 例子 中 ， 结 果 是 
Kipamworldwide. com. +005 + 14522 
密 钥 名 的 格式 遵循 这 个 惯例 
(1) K (AFH), 
(2) 密 钥 名 (ipamworldwide. com) 。 
(3) 密 钥 产生 算法 (在 这 种 情形 中 是 005 = RSA-SHA-1) 。 
(4) 密 钥 标签 (tag) 或 密 钥 的 身份 (14522), 
密 钥 标签 提供 了 索引 密 钥 的 一 种 简便 方法 ， 我 们 稍 后 将 看 到 。 由 dnssec-keygen 
或 dnssec-keyfromlabel 产生 两 个 文件 ， 一 个 带 有 扩展 名 . private， 指 明 是 私有 密 钥 ， 另 
一 个 带 有 扩展 名 . key， 它 以 一 条 DNSKEY 记录 的 形式 包含 公开 密 钥 。 在 我 们 的 例子 
中 ， 这 两 个 密 钥 文件 如 下 命 名。 
Kipamworldwide. com. +005 + 14522. private 
Kipamworldwide. com. +005 + 14522. key 
Kipamworldwide. com. t005t14522. private 文件 包含 私有 密 钥 细节 ， 包 括 格式 、 算 
法 、 模 块 、 指 数 、 素 数 和 系数 值 ， 如 下 dnssec- keygen 命令 的 输出 (为 了 改进 可 读 性 ， 
插入 了 空 行 ) 所 示 。 
Private-key-format: v1.2 
Algorithm; 5 (RSASHAI ) 
Modulus ; 
x6QAwJiz6hHa/eUI2 pGz6rvwEY pJdil TJH8 Uj41DPTmzseCOgFEqB3/dZB0Q 
SLEs1ZetAJJEk4F + WeceRKwqnlcGkvIKfTC8hn + gbiBAnadQRFLxNMBs6KBOe + 
yqiNK60sbrn22F8 A YRiG3 n2rTQndVtkaZep9 jbcCqfu/ DagB10 = 
PublicExponent; AQAAAAE = 
PrivateExponent: 
CWheqbbkIx3kRla7 NyDbdwZY GA83 uBtdfnBTu8 Qy V8/h419T3 fy WrWfKo4 wi 
Vys9 ql0 Xmumwy/hSLmZJJrzxS6SVwaM/iEunsyyiHedeVKiMeYVIOlvJ3 + 
OweKy/S59y3drJS + qAm + chtrhWZheXtzgR78 wp2IK + 4k HAhZTCYGAE = 
Primel : 
8 YuU4sicmKmu5 Cz4 UjvE2kQit5 pJPV3 yUKO4nPz9 POMJF KyCIAdsw2A5 HoRn3 + + 
15 BtDjeQxk D0 aF GA4S0fKXQ = = 
Prime? : 
05 ZzyiaiZK1 JgQMCgT977 NZkEuKgeXI4seTULI Wu7Z/FRs/7 xHE4 0S Jrx7 siwLOx 
WJKec4Fo +4erVRHioiOadhAQ = = 
Exponent! ; 
Hpy! z37 UsfdONCV7 Kd/8xu07 PslhtbX7 EFVGRno/dOrW Np5 p64hVhFS5 tbnNBVz 
ZHRQ + 5IZzwMfQ3 A3 + CjY8QQQ = = 
Exponent2 ; 
jfw + s9zt8uVMwubwowwx0sjX32GO3 VrSPk68 + CisiA Vx YS8EdTOqvpY ps6 Vz + 
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rJNnnk45 urnlqDbWCx2tugyAQ = = 


Coefficient ; 
uUC/aKgEvOQymCmMukC4 ExTm/7ly2w3 1 V/ NMOF2GzC7 fel gY VDZEOX6 YNnz5e8 


PRD2bQXCTgsMorRs7 PJYI2Cg = = 
Kipamworldwide. com. t005t14522. key 文件 理解 起 来 要 比较 容易 点 , 它 包含 我 


们 的 DNSKEY 资源 记录 


ipamworldwide. com. IN DNSKEY 256 3 5 
BQEAAAABx6QAwJiz6hHa/eUL2 pGz6rvwEY pJdil TJH8 Uj41DPTmzseCO 
gFEqB3/dZBOQS5LEs1 ZetAJJEk4F + WecRKwqnIcGkvIKfTC8hn + gbiBAn 
adQRFLxNMBs6KBOe + yqiNK60sbrn22F8 AY RiG3 n2rTQndVtkaZep9 jbe 
Cqfu/DagB10 = 
DNSKEY 资源 记录 的 解释 或 格式 描述 如 下 。 


属 主 TTL 类 类 型 RData 
区 域名 TTL | IN | DNSKEY 标志 协议 算法 AH 
ipamworldwide. com. 86400 IN DNSKEY 256 3 5 BOEAAA.… 


属 主 字段 定义 区 域名 。RData 由 如 下 子 字段 组 成 。 
(1) 标志 。 指 明 这 个 密 钥 是 一 个 区 域 密 钥 ( 值 =256) 。 当 前 为 标志 字段 定义 的 
值 如 下 。 使 用 如 下 的 十 进 制 值 ， 我 们 看 到 一 个 ZSK 将 有 一 个 标志 值 256， 而 一 个 KSK 


将 有 一 


1) 
2) 
3) 
4) 


个 奇数 值 ， 像 257。 

第 7bit。ZSK (十 进 制 =256)。 

第 8bit。 撤 销 签名 (十进制 =128)。 

第 15bit。KSK 或 安全 入 口 点 (SEP) (十 进 制 =1)。 
其 他 bit。 未 指派 。 


al 


nt 


nt 


(2) 协议 。 必 须 有 一 个 值 “3”， 指 明 是 DNSSEC (这 是 当前 定义 的 唯一 值 ) 。 
(3) 算法 。 定 义 密 钥 生 成 中 使 用 的 算法 。 当 前 支持 的 算法 编码 如 下 。 


1) 
2) 
3) 
4) 
5) 
6) 
7) 
8) 
9) 
10 
11 
12 


fi =1。RSA-MD5 ， 依 据 RFC4034， 不 建议 使 用 该 值 。 
直 =2。Diffie-Hellman。 

直 =3。DSA-SHA-1。 

让 =4。 保 留用 于 椭圆 曲线 算法 。 

Ħ =5, RSA-SHA-1, (4% RFC 4034， 这 是 必 备 的 算法 。 
(i =6, DSA-NSEC3-SHA1, 

值 =7, RSASHA1-NSEC3-SHA1, 

fi =8, RSA-SHA-256, 

fi =10, RSA-SHA-512, 

) {fi =12, GOST R34. 10-2001 , 

) 值 =252。 间 接 的 。 

) 值 253-254。 私 有 的 。 
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13) 值 =0，255。 保 留 的 。 
14) 其 他 值 。 未 指派 的 。 
(4) 密 钥 。 公 开 密 钥 (ZSK 或 KSK), 
现在 我 们 重复 dnssec-keygen 命令 ， 这 时 使 用 -f KSK 参数 ， 还 有 一 个 较 长 的 密 角 
信和 寸 ， 来 产生 我 们 的 KSK 对 。 
dnssec-keygen-a RSASHA1-b 2048-n ZONE-c IN-e-f KSK ipamworldwide. com. 
命令 行 对 这 条 命令 的 响应 是 密 钥 对 名 Kipamworldwide. com. 1005106082 , 
产生 所 得 DNSKEY 记录 
ipamworldwide. com. IN DNSKEY 257 3 5 
AwEA AdSAwGoUBhtjpE8 GLGN4ryt8 yEq71 DqdE + ij3 boe9lmvpM02 YZ1/ 
AQxoHbyA7NqRr + 8dsTM8 OrF2yFRbcP1 yO/9 q37T0PqxL5 Hj AZ8 HrDoW9 
R/pC3 XyRe9pMzRNr4as + c/xEISfhxzvR84 CndF5 XvFeh3 HOkVDeTb +7Q 
RrG7hnph4 P8 w4SMe76tBvxHLFmj3 OdP8 vIUpR AnexEAdclamj1ZSPjLc 
dICzpDvQB/LLsYxx8 wx2 hOvTvhxZklqmy 1 dPBtIZu2 A551 VIrU0xgCJx 
DjJGCgBbrp1 C01 tYSdql Al I2HCL8eV7io/CxnCuSThPlXaPLySojJpXU 
gDomWegV Yeo0 = 
注意 由 于 设置 了 SEP 标志 ， 所 以 对 于 KSK， 标 志 字 段 值 为 257， 对 于 ZSK， 是 
256。 我 们 将 以 其 keyid = 06082 (来 自 所 生成 的 密 钥 名 ) 来 指称 KSK, H keyid = 
14522 来 指称 ZSK。 


13. 3.2 将 密 钥 添加 到 区 域 文件 


在 我 们 对 区 域 签 名 之 前 ,我们 需要 将 我 们 的 两 条 DNSKEY 资源 记录 包括 在 区 域 
文件 内 。 因 为 密 钥 文件 包含 我 们 的 DNSKEY 资源 记录 ， 所 以 您 可 从 文件 中 剪 切 并 粘 
贴 到 区 域 文件 ， 或 简单 地 对 每 个 文件 使 用 一 个 $ INCLUDE 语句 。 

$ INCLUDE Kipamworldwide. com. +005 +14522. key 

$ INCLUDE Kipamworldwide. com. +005 +06082. key 

也 不 要 忘 了 增加 您 的 序列 号 。 在 以 dnssec- signzone 设施 工具 对 区 域 签 名 之 前 ， 首 
先 运 行 namedcheckzone， 这 是 一 个 好 的 想法 。 


13.3.3 ”对 区 域 签名 


区 域 签 名 过 程 利 用 了 另 一 个 BIND 设施 工具 dnssec- signzone , 它 实 施 许多 个 功能 
来 对 区 域 签名 。 首 先 ， 它 规范 化 地 对 区 域内 的 资源 记录 排序 。 从 本 质 上 来 说 ， 这 是 对 
区 域内 的 资源 记录 按 字母 顺序 排列 。 这 有 利于 签名 应 用 以 常见 属 主 名 、 类 和 类 型 将 资 
源 记 录 归 组 到 资源 记录 集合 (RRSet) 。 对 资源 记录 进行 规范 化 排序 的 另 一 个 原因 是 
识别 区 域 文件 内 RRSet 间 的 间隔 (gap) 和 带 有 下 一 个 安全 资源 记录 的 总 体 (popula- 
tion) ， 安 全 资源 记录 提供 在 一 个 区 域内 一 条 给 定 资源 记录 的 经 过 认证 的 存在 性 拒绝 
信息 。 一 条 NSEC3PARAM 资源 记录 必须 存在 于 区 域 文件 中 ， 以 便 在 区 域 签名 过 程 中 
生成 NSEC3 记录 。 
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在 规范 化 排序 和 插入 NSEC [3] 记录 之 后 ，dnssec-signzone 对 区 域 文件 内 的 RR- 
Set 签名 ， 包 括 DNSKEY RRSet (以便 被 $ INCLUDE 在 我 们 的 例子 中 ) A NSEC [3] 
RRSet。 被 签名 的 区 域 文件 包含 原始 的 RRSet， 是 规范 化 排序 的 ， 并 使 用 资源 记录 签 
名 (RRSIG) 记录 进行 了 签名 。 文件 也 包括 一 条 NSEC [3] 记录 以 及 在 文件 内 每 个 
RRSet 所 对 应 的 RRSIG 记录 。 在 区 域 文件 内 没有 被 签名 的 唯一 记录 是 子 区 域 的 NS 记 
录 。 子 区 域 (而 不 是 父 区 域 ) 是 这 个 信息 的 权威 ; 因此 ， 父 区 域 没 有 认证 这 些 消 息 
的 准确 性 。 

幸运 的 是 ， dnssec- signzone 设施 工具 实施 所 有 这 些 步 又 ， 自 动 地 进行 规范 化 排 
Fe. NSEC [3] 捅 入 以 及 RRSIG 构造 和 搬入 ， 以 便 产生 一 个 被 签名 的 区 域 。 这 里 是 
dnssec-signzone 命令 ， 我 们 将 用 之 对 ipamworldwide. com. 区 域 签名 。 

dnssec-signzone-k Kipamworldwide. com. +005 +06082-1 dlv-registry. 


net-g-o ipamworldwide. com. -t db. ipamworldwide. com Kipamworldwide. 

com. +005 + 14522. key 

dnssec-signzone 设施 工具 的 参数 包括 如 下 内 容 。 

(1) -3 salt (HWE): 当 对 这 个 区 域 签名 时 ， 使 用 指定 的 salt 值 ， 生 成 一 个 
NSEC3 $E, salt 是 以 十 六 进 制 格式 指定 的 ， 一 个 短线 (-3-) 指明 ， 当 生成 NSEC3 链 
时 ， 不 应 使 用 salt。 

(2) -a: 验证 所 有 生成 的 签名 。 

(3) -A: 当 生 成 一 个 NSEC3 链 时 ， 在 所 有 NSEC3 记录 上 设置 OPTOUT 标志 ， 且 
不 要 对 未 签名 的 子 区 域 (不 安全 的 委派 ) 生成 NSEC3 记录 。 

(4) -c 类 : DNS 区 域 的 类 。 

(5) -C; 与 dnssec-signzone 的 较 陈 旧版 本 的 兼容 模式 ; 在 签名 zonename 区 域 时 ， 
除了 dssec-zonename 之 外 ， 生 成 -zonename 密 钥 集合 。 

(6) -d HR: 为 了 对 区 域 签 名 ， 查 找 dsset 或 keyset 文件 的 指定 目录 。 

(7) -e end_ time; 指定 所 生成 的 资源 记录 集合 签名 记录 过 期 时 的 日 期 和 时 间 。 
End_ time 可 使 用 + N 以 相对 于 当前 时 间 的 方式 指定 ， 其 中 是 距离 当前 时 间 的 秒 
že, 或 使 用 格式 YYYYMMDDHHMMSS 的 协调 统一 时 间 (Coordinated Universal Time, 
UTC) 的 绝对 时 间 表 示 。 当 忽略 这 个 参数 时 ， 默 认 end_ time 是 距离 start_ time 的 30 
天 时 间 ( 见 -s)。 

(8) -E 引擎 : 为 区 域 签 名 ， 使 用 密码 学 硬件 (OpenSSL 引擎 ) 的 命令 选项 ， 使 
用 的 是 来 自 一 个 安全 密 钥 存储 ( 当 支 持 时 ) 的 密 钥 。 当 采用 PKCS#11 支持 进行 编译 
时 ， 默 认 的 引擎 是 pkcs11 ， 否 则 为 none (无 ) 。 

(9) -f 文件 ， 指定 被 签名 区 域 的 文件 名 。 如 果 忽 略 ， 则 默认 是 附加 有 签名 的 当 
前 区 域 文件 名 。 

(10) -g: 指明 应 该 产生 委派 签名 者 资源 记录 ， 由 该 记录 认证 所 签名 的 子 区 域 ; 
得 到 的 ds-set 密 钥 集合 ， 被 提供 给 父 区 域 的 管理 员 ， 包 括 在 用 于 签名 的 父 区 域 中 。 

(11) -h: 打印 这 条 命令 的 help 摘要 描述 。 

(12) -H iterations (重复 次 数 ) : 当 生成 一 条 NSEC3 $E ( 当 指 派 -3 选项 时 ) 时 ， 
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使 用 iterations 次 的 重复 数 。 

(13) -i 间隔， 当 对 一 个 区 域 重新 签名 (传递 一 个 以 前 签名 的 区 域 作为 输入 ) 
时 ， 间 隔 指 定 任 何 签名 记录 超期 前 距离 当前 时 间 的 时 间 间 隔 ， 此 时 将 重新 产生 间隔 。 
因此 ， 如 果 签 名 (RRSIG) 记录 被 设置 为 在 5 天 内 过 期 ， 且 该 区 域 被 重新 指派 一 个 6 
天 的 间隔 ， 则 将 重新 产生 签名 记录 ; 否则 ， 将 保留 当前 的 签名 。 

(14) -I 输入 格式 : 定义 要 签名 的 区 域 文 件 的 输入 格式 ， 文 本 格式 〈 默 认 的 ) 或 
原始 的 (raw)。 将 这 个 选项 设置 为 原始 的 ， 这 有 助 于 对 原始 区 域 数据 的 签名 ， 该 数 
据 包 括 动态 更 新 ， 因 此 为 静态 区 域 增加 不 了 多 少 价值 。 

(15) -j 抖动 (jitter): 支持 指定 一 个 窗口 ， 该 窗口 被 用 来 随机 化 RRSIG 签名 超 
期 时 间 ， 目 的 是 降低 几 个 同时 超期 的 影响 ， 当 被 签名 区 域 的 时 间 过 了 、 需 要 重新 指派 
时 ， 每 个 超期 都 需要 重新 产生 签名 。 

(16) -k 密 钥 : 指派 的 密 钥 是 一 个 KSK; 可 提供 多 个 -k 参数 。 

(17) -K 目录 : 定义 密 钥 文 件 所 处 的 目录 。 

(18) -1 域 : 生成 一 个 DLV 密 钥 集合 文件 ; 可 将 这 个 密 钥 集合 注册 到 DLV 注册 
结构 ， 以 便 验 证 这 个 区 域 的 “委派 ”。 

(19) -n threads (线程 数 ) : 指定 当 实 施 这 项 操作 时 ， 要 使 用 的 CPU 线程 数 。 

(20) -N serial-format (序列 号 格式 ) : 指定 被 签名 区 域 的 SOA 记录 序列 号 的 格 
式 ， 为 如 下 之 一 。 

1) 保持 原样 (keep): 不 修改 区 域 文 件 输入 的 序列 号 。 

2) 增加 (increment): 依据 RFC 1982 序列 号 算法 ， 增 加 序列 号 。 

3) unixtime: 将 序列 号 设置 为 自 计 时 开始 以 来 ( 自 1970 年 1 月 1 日 子夜 UTC 以 
来 的 时 间 ， 不 计算 疼 秒 ) 的 秒 数 。 

(21) -o 源 始点 (origin): 指定 被 签名 区 域 的 区 域 原始 点 。 

(22) -O 输出 格式 (output-format) : 指派 被 签名 区 域 的 输出 格式 为 文本 (默认 
的 ) 或 原始 的 。 

(23) -p: 当 对 区 域 签名 时 ,使 用 伪 随 机 数据 ， 相 比 于 依据 -r 参数 而 使 用 真实 随 
机 数据 的 方法 ， 这 种 方法 要 快速 但 不 太 安 全 。 

(24) -P: 禁止 默认 的 签名 后 (postsigning) 验证 测试 ， 包 括 对 每 个 正在 使 用 的 
算法 验证 存在 一 个 有 效 的 未 撤销 的 KSK、 验 证 所 有 被 撤销 的 KSK 都 是 自 签名 的 和 针 
对 每 个 算法 区 域 中 的 所 有 记录 都 是 签 过 名 的 。 

(25) -r 随机 源 : 指明 一 个 随机 数据 源 ， 例 如 一 个 文件 或 字符 设备 〈 例 如 键盘 ) 。 

(26) -s start_ time: 指定 资源 记录 集合 签名 记录 (RRSIC) 成 为 有 效 的 日 期 和 
时 间 。start_ time 可 使 用 + N 以 相对 于 当前 时 间 的 方式 指定 ， 其 中 V 是 距离 当前 时 间 
的 秒 数 ， 或 使 用 格式 YYYYMMDDHHMMSS 的 协调 统一 时 间 ( Coordinated Universal 
Time, UTC) 的 绝对 时 间 表 示 。 当 忽略 这 个 参数 时 ， 默 认 start_ time 是 距离 当前 时 间 
的 1h， 目 的 是 运行 时 钟 偏差 。 

(27) -S: “灵巧 签名 ”利用 密 钥 元 数据 ， 使 用 dnssec-keygen 的 定时 选项 加 以 配 
置 ; 搜索 密 钥 库 查找 与 要 签名 的 区 域 相 匹配 的 密 钥 ， 将 它们 包括 在 与 相应 元 数据 和 秆 
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时 关系 一 致 的 区 域 文 件 内 ， 之 后 对 区 域 签 名 。 满 足 如 下 条 件 的 密 钥 被 用 来 对 区 域 签 
名 ， 即 当前 日 期 已 经 过 了 激活 日 期 或 撤销 日 期 ， 但 在 退役 或 删除 之 前 〈 或 如 果 不 存 
在 元 数据 ) ; 满足 如 下 条 件 的 密 钥 可 被 发 布 但 不 被 用 来 对 区 域 签 名 ， 即 当前 日 期 过 了 
发 布 日 期 但 在 其 他 日 期 之 前 。 

(28) -t: 在 签名 过 程 完 成 时 ， 打 印 统计 信息 。 

(29) -Ttl; 定义 与 DNSKEY 记录 一 起 使 用 的 TIL 值 (如 果 在 区 域 中 任何 未 废 
弃 的 DNSKEY 记录 上 没有 指定 TTL 的 话 ) ， 作 为 灵巧 签名 的 组 成 部 分 ( 见 -S)， 这 些 
记录 是 从 密 钥 库 输 入 到 区 域 文 件 中 的 。 

(30) -u: 更 新 区 域内 的 NSEC [3] 链 ; 同样 也 支持 从 一 个 NSEC 链 式 区 域 到 一 
个 NSEC3 链 式 区 域 的 切换 , 反之 亦 然 , 但 这 取决 于 区 域 文 件 中 是 否 存在 
NSEC3 PARAM 记录 。 

(31) -v level: 设置 调试 (debug) 等 级 。 

(32) -x: 以 KSK 对 区 域 的 DNSKEY RRSet 签名 ， 但 并 不 带 ZSK。 

(33) -z: 当 确定 要 对 什么 签名 时 ， 忽 略 KSK 标志 (SEP 标志 比特 ); 即使 有 
KSK [和 ZSK] 对 区 域 RRSet 签名 也 要 忽略 。 

(34) zone_ file; 要 签名 的 区 域 文件 名 。 

(35) BA: 用 来 对 区 域 数据 签名 的 密 钥 。 

Dnssec- signzone 设施 工具 的 输出 是 被 签名 的 区 域 ， 它 使 用 相同 名 字 作 为 原始 的 未 
签名 区 域 ， 串 接 一 个 “.signed” 后 缀 。 看 看 我 们 的 例子 ,您 可 如 下 看 到 
db. ipamworldwide. com. signed 文件 要 远 远大 于 我 们 的 原始 区 域 文件 。 考 虑 在 签名 前 我 
们 的 初始 db. ipamworldwide. com 文件 
$ TTL86400 


ipamworldwide. com. 1D IN SOA extdnsl. ipamworldwide. com. 


dnsadmin. ipamworldwide. com. ( 
204 ; serial 
3H ; refresh 
15 ; retry 
lw ; expire 
3h ; minimum 
) 
ipamworldwide. com. 86400 IN NS extdns1. ipamworldwide. com. 
86400 IN NS extdns2. ipamworldwide. com. 
86400 IN NS extdns3. ipamworldwide. com. 
extdnsl. ipamworldwide. com. 86400 IN A 192. 0. 2. 34 
86400 IN AAAA 2001: db8 :4af0:2010::a 
extdns2. ipamworldwide. com. 86400 IN A 192. 0. 2. 42 
86400 IN AAAA 2001 : db8 :4af0:2011::11 
extdns3. ipamworldwide. com. 86400 IN A 192. 0. 2. 50 
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86400 IN AAAA 2001:db8 :4af0:2006::9 


eng. ipamworldwide. com. 1w IN NS nsl. eng. ipamworldwide. com. 


nsl. eng. ipamworldwide. com. 1w IN AAAA 2001 :db8 :4af0 :2007 : 
nsl. eng. ipamworldwide. com. 1w IN AAAA 2001 :db8 :4af0 :2009 : 


lw IN NS ns2. eng. ipamworldwide. com. 


$ ORIGIN ipamworldwide. com. 


WWW 


w3 
smtpl 


smtp2 


ftp- support 


1D IN MX 10 smtpl. ipamworldwide. com. 
1D IN MX 20 smtp2. ipamworldwide. com. 
1D IN A 192. 0. 2. 37 

1D IN AAAA 2001 ; db8 :4af0 :2010 : :25 
1D IN A 192.0. 2. 53 

1D IN AAAA 2001 :db8 :4af0 ;2006; :5 
1D IN CNAME www. ipamworldwide. com. 
1D IN A 192. 0. 2. 36 

1D IN AAAA 2001 :db8 :4af0 :2010::1b 
1D IN A 192.0. 2. 45 

1D IN AAAA 2001 :db8 :4af0 :2011: :2b 
1D IN A 192. 0. 2. 44 

1D IN AAAA 2001 ;db8 :4af0 :2011: :2c 


$ INCLUDE Kipamworldwide. com. +005 + 14522. key 

$ INCLUDE Kipamworldwide. com. +005 + 06082. key 
将 上 述 内 容 与 如 下 签名 版 本 相 比 对 : 
ipamworldwide. com. 86400 IN SOA extdnsl. ipamworldwide. com. 


dnsadmin. ipamworldwide. com. ( 


204 ; serial 
10800 ; refresh (3 hours ) 
15 ; retry (15 seconds) 
604800 ; expire (1 week) 
10800 ; minimum (3 hours) 
) 
86400 RRSIG SOA 5 2 86400 20100305135354 ( 


:7 
:12 


20100203135354 14522 ipamworldwide. com. 
OQS + AaE57 + ffRfz + SaMHOJI6b412 bNnsSDIK 
mlIMdmX Ow8 cylCMieaUBz8 ek64 FyMWLGh2c5 
HogVxtt7s9 cHICosxqhqZNXYT7GP + YpRRVO4 
uCGgq6uogCpgj1 L39tqnSQ1da8 pT5a6DRCIJ 


fqsSS ubrmA/20cc02c15XFTIAik = ) 
86400 NS extdns1. ipamworldwide. com. 
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86400 NS extdns2. ipamworldwide. com. 

86400 NS extdns3. ipamworldwide. com. 

86400 RRSIG NS 5 2 86400 20100305135354 ( 
20100203135354 14522 ipamworldwide. com. 
qVdOx6s9IT ATA Y Wz2hPB1 Q5aVNPcPbIsREenD 
PP/7GyXbQKxAdDDugaWPHoKEvPA9f1SBWomZ 
h4pGOKJaA5 Pk9 ok F3 FKHLHclTFV GfhTEdrVj 
Dk6a8eRNoU + CMHWwmfJtNFp YpV Vd6 Chil LWdw 
ZJ27Z80 HZrHtwZ8 XmubPzu8 MZIE = ) 

86400 MX 10 smtp1. ipamworldwide. com. 

86400 MX 20 smtp2. ipamworldwide. com. 

86400 RRSIG MX 5 2 86400 20100305 135354 ( 
20100203135354 14522 ipamworldwide. com. 
dR4kJtp5 DyvCHTF7 + uCNloKCRNVx5 jM/XOd9 
H5 F7OhnDUIgPWKYnuCbL3 PBhx1ik9 OnrrL1 g 
ZvEuT Avifzzax4n8 CSPCBO CbrM W WUX044 vKG 
IOWOLwzQKJXIPGHzGiG + 6dktfqOnBgppXekA 
QWBJA6nOAeGKtqQMtkUa75uqs2 Y = ) 

10800 NSEC eng. ipamworldwide. com. NS SOA MX RRSIG 
NSEC DNSKEY 

10800 RRSIG NSEC 5 2 10800 20100305 135354 ( 
20100203135354 14522 ipamworldwide. com. 
WyZl4 AduBUWdEDO1Cke + IOnSArek5n3r6rKX 
m26 H5 Sjow/ RSpgmPJf{GOH/9 gjyEwnGoqrKbh 
5s7kxtnvF3xV YFE1 If7zv5 bHxSvBqMDqdN Xq 
ChY9 BJ9kOemQOL7NipreadXfyV XBthl5 jaPC 
vKLSwAjmNAzbtV4f6S + CIDK288w = ) 

86400 DNSKEY 256 3 5 ( 
BQEAAAABx6QAwJiz6hHa/eU2 pGz6rvwEYpJ 
dil TJH8Uj41DPTmzseCOgFEqB3/dZB0Q5 LEs 
1ZetAJJEK4F + WeeRKwqnIcGkvIKfTC8hn + gb 
iBAnadQRFLxNMBs6KBOe + yqiNK60sbrn22F8 
AYRiG3n2rTQndVtkaZep9 jbcCqfu/ DagB10 = 
) ; key id = 14522 

86400 DNSKEY 257 3 5 ( 
AwEAAdSAwGoUBhtjpE8 GLGN4ryt8yEq71 Dqd 
E + ij3boe9lmvpM02 YZ1/ AQxoHbyA7NqRr + 8d 
sTM8 OrF2 yFRbcP1 y0/9q37T0 PqxLs5 Hj AZ8 Hr 
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DoW9R/pC3 XyRe9pMzRNr4as + c/xEISfhxzvR 
84 CndF5 XvFeh3 HOkVDeTb + 7 QRrG7hnph4 P8 w 
4SMeg76tBvxHLFmj3 OdP8 vIUpRAnexEAdclam 

jl ZSPjLedICzpDvQB/LLs Yxx8wx2h0 vTvhxZ 
klqmy1dPBtIZu2 A551 VIrU0xgCJxDjJGCgBb 

rpl CO1tYSdqlA1 12 HCL8eV7io/ CxnCuSThPl 
XaPLySojJpXUgDomWeV Yeo0 = 

) ; key id = 6082 

86400 RRSIG DNSKEY 5 2 86400 20100305135354 ( 
20100203135354 14522 ipamworldwide. com. 
VObEwZm Y560rGQb02 B/ Pf17RAcFyPZAvPT/W 
Rm/ + nluSOYMVqdzRaKM/ae47 KslioXm3 tNey 
GF3 uBvBql7xPzlOuly3 COoorXmbsshbuANo7 
YfQsyX WuX2 BYjLA VRRLQol VedDyyleoA0E7 
BebPM + fQQtvN2C2IjreacJyeUle = ) 

86400 RRSIG DNSKEY 5 2 86400 20100305135354 ( 
20100203135354 6082 ipamworldwide. com. 
e8jCEV Y6C11SImGqjgzV W Agp7cC4 A WuntF ve 
oCCO + 2BwGxe7 + zxP2102CCSOCIrTqtgwpNRd 
5aH4xBrYmZhOIFQ7OxTFSGBvQ4 DxC8ZDdQVS 
uTYCBSzN7kXRJZopZv3 chhf7/9uyz3 gqtQnl 
SRyUVATMOGS5eu + ewBFqGIsXJvS XMNG7ZTO15 
rtRd8zF/7 MIY7TISbHHULGP7 OJxcNF tyt8 wne 
/dObfexril4tOwLPVF4 QnLnLxAHvdWt + QPVQ 
723 WIcOU + rg6U6FsSjoi0 U2 QAxVFebenTJED 
U2juAdqEE8I1 Y9oOvNQOVtYFF)XFgil vDLGCG 
2M8i4 f19 uGZUHvzKng = = 

nsl. eng. ipamworldwide. com. 604800 IN AAAA 2001 : db8 :4af0 :2007 : :7 
ns2. eng. ipamworldwide. com. 604800 IN AAAA 2001 : db8 :4af0 :2009 ; :12 
eng. ipamworldwide. com. 604800 IN NS nsl. eng. ipamworldwide. com. 

604800 IN NS ns2. eng. ipamworldwide. com. 

10800 NSEC extdns!. ipamworldwide. com. NS RRSIG NSEC 

10800 RRSIG NSEC 5 3 10800 20100305 135354 ( 
20100203135354 14522 ipamworldwide. com. 
dWwY0rZRfW5 aYgBsbRuCxot6 CGGG8hfgHId7 
84 IZTYi9 HH e102 saBdlzmzqJCGre0 pGSDBvf 
ZpJP1BVUS1 NuMycEBFBUIS8IUASDTxcLGjrT 
169vIqiyXjICzrsu2fzKL1 QNwUOFMGiedglh 
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1jkUJ1jKKs9yr4 XFZBwP/y8 OpoQ = ) 
extdns1. ipamworldwide. com. 86400 IN A192. 0. 2. 34 

86400 RRSIG A 5 3 86400 20100305135354 ( 
20100203135354 14522 ipamworldwide. com. 
IwNfRz7 m6 Rneh6hpacdIpTHGRftsU8 e931 OP 
bjCODfw92DXn5 1 uHghiCoE + rr04zK1wYFPSL 
CoKF43 whVX1 EXOt7 UFGuAebr4587 DnDqhKol 
9 XivKe35 HvPz1 ErniZHuUIsZCj vuziwvG1IXS 
72PkoHzNw/lxv + nDriemFn7tWxE = ) 

86400 AAAA 2001 ; db8 :4af0:2010::a 

86400 RRSIG AAAA 5 3 86400 20100305135354 ( 
20100203135354 14522 ipamworldwide. com. 
aNzJgdLi4 DTtIUj + Y + 9FLIZeAuSiRX9 yewN 
jvFG3 aJ4 mo04fWwhKF ynltcfJFpKjHyq4eCD 
PamIS/9fDOn8 OdX 1 g8 CkfKNQIszUoAkhSQXH 
6avkol jwgPOlqHwjRNhdcW2UuE + pjyvgNITW 
ZOgb65nR + UjSJQXRQnHpyhyD + nk = ) 

10800 NSEC extdns2. ipamworldwide. com. A AAAA RRSIG 
NSEC 

10800 RRSIG NSEC 5 3 10800 20100305 135354 ( 
20100203135354 14522 ipamworldwide. com. 
ipB8e08 GLPvbCCzUF6ETXBiXsRXZiWu8 y21z 
uEoxJn + 3T9dYXFEFFpdyj5 Qnhl/gnvwpel mP 
sFyg0 + P5SmNziXO/Aj3 LOF2 HJMnQxT34dQdJb 
Ze/6 KBJZO6 KZXwXrQXx V GrbFHY9xY5 QO gfs4 
J2MUAZB074 KWOVZKUzLUczerwhl = ) 

extdns2. ipamworldwide. com. 86400 IN A192. 0. 2. 42 

86400 RRSIG A 5 3 86400 20100305135354 ( 
20100203135354 14522 ipamworldwide. com. 
ax6 Umlog3 DSn + KxIQSvbQjES9CwuaYZ + GOyT 
NHOIwVOrV4cjP7LA2 Pe2 p7 bQjwoTMkXKSuoU 
Or8 Mnd7/boJyQUrBF62pbhOqJ9 mKbvrYD1 ud 
SivEiDnxAvOF TwagCe22 Vvd3 DNTjXUhizBt7 
DUbA921SCiNHgeFT/OljqeW + ZO = ) 

86400 AAAA 2001 ; db8 :4af0:2011::11 

86400 RRSIG AAAA 5 3 86400 20100305135354 ( 
20100203135354 14522 ipamworldwide. com. 
aQOVipvwjtASODZiXJoTot9iPAToI5 rqrkMD 
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IXRNimxuT/EDO + S940Ug5rA5a/XS80aDFSyD 
uqLIViZC4Zd5 jHazPxEjJR7 YyJOsx8kly5Q 

85 LBJQhVsiADcoKz7 NZ8TRFZzSEGQNKMLVYIx 
kVx8 JpJcGWLeXBekk5 J46OeacfE = ) 


10800 NSEC extdns3. ipamworldwide. com. A AAAA RRSIG 


NSEC 


10800 RRSIG NSEC 5 3 10800 20100305 135354 ( 


20100203135354 14522 ipamworldwide. com. 
J8j82DSNwUcOM2dd2vPzkT1OnjxrrTeKIW H2 
h13hjbH3xrl8 WLOQOdJQiqJpXapXSKGX/57 + C8 
EO + OBbsqNMpwf + bNhxdnJazB7 elY dk7 KI8 Xp 
Tmpy V9zRTJjr3 U3 l6pw2 GjaCMkBDw8JD1 + 6w 
LJjib4JgHg3 pDswvo6ShXxpnezk = ) 


extdns3. ipamworldwide. com. 86400 IN A192. 0. 2. 50 


86400 RRSIG A 5 3 86400 20100305135354 ( 


20100203135354 14522 ipamworldwide. com. 
a6IVQOXfcOUgslf{CJA/yGDvPdXUrXH2HJzS9 
h/DGEIdu3 ZBNcEwtK Vvd4 ph/rHXknX2Ito2m 
4/1 OLtvFdriZjhbpIERCatl45 ySxhvugbZlb 
EAjEWalkixmPoOtXZ + pAS + 7cLCxkodr5Np2t 
f9Ppdv5bx4/ a9 BIM8abrUwrl988 = ) 


86400 AAAA 2001 ; db8 :4af0 :2006::9 
86400 RRSIG AAAA 5 3 86400 20100305135354 ( 


20100203135354 14522 ipamworldwide. com. 
AMeurMSeauKG/ w0 KSg09 tKWToMDXEOtArCmu 
13 VKDUDN22 Y7yf1UX + nwcUJuLRU4tLfeiLBT 
E8 ITjsJ3 Qu9 SQmCBB/4 VCHjNax98 c4 + /RBym 
M9sKuprQK9MEzV5kqqY yHdVuPFzSWCp0QXCO 
AWrWGW1k03 0XS60j + gqK3hHnAsQ = ) 


10800 NSEC ftp- support. ipamworldwide. com. A AAAA 


RRSIG NSEC 


10800 RRSIG NSEC 5 3 10800 20100305 135354 ( 


20100203135354 14522 ipamworldwide. com. 
nfQMcp6s2 Ty VItiCmb89 DiSKY mdurlBo0 Nx3 

OIQ YcoMvZVVXMaé4 ynCog3 1KdebjhGrW8e6 NG 
cS SyPYrBzjwl NVEPIrI mNoVN2 EEBqquP YluC 
29{0 MS N534yThPO1 yCsjee7 FpIXGKYObhbS + 
iSwLH1ONrIpLJEAw30WsXNPxkhQ = ) 
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ftp- support. ipamworldwide. com. 86400 INA 192. 0. 2. 44 
86400 RRSIG A 5 3 86400 20100305135354 ( 
20100203135354 14522 ipamworldwide. com. 
umylYTUI2 YaFXcRp9xATrAK7 YnOz/PCbzOSF 
xJLL9 CLNzmtdPEvFW7i09o0eC8C + R3 WfYafhV 
aWiT/BYPbwqvxHaxR WFJ7hI087n5 PHfA HxyE 
dirl ILZO5f01IKK8 olgawly HbE/ XeqY HVeZpY 
7JSGGMBiyTI/ VGKluud17 + /EDh4 = ) 
86400 AAAA 2001 ; db8 :4af0 :2011 ; :2c 
86400 RRSIG AAAA 5 3 86400 20100305135354 ( 
20100203135354 14522 ipamworldwide. com. 
A43jiBaDMIhL9 KtqP2uE2iG + snSSZBVhqk9Q 
ChRRO0512pZJ5 WGPipO KjgcJxaVnMbbBuyM7v 
IzW6G1 PerBwtbaX/zi2 YnW + OOXyBYGIXjXPC 
bHjM317Z07 WgHD/ 14 jrHZV QczUDSmZCJQBIK 
zEYITt + su4K6EIfxw3uBlrheA Ac = ) 
10800 NSEC smtp1. ipamworldwide. com. A AAAA RRSIG 
NSEC 
10800 RRSIG NSEC 5 3 10800 20100305 135354 ( 
20100203135354 14522 ipamworldwide. com. 
v/LRbW7drv03r + F5 XasqZ2bjdGXQ7 VP6kvOa 
gt3s/gT5 W/c8alfTeA3 lmwwEk3 DrNEB9U + MV 
XE9 Yd iLySu8JO7hF9 qJfSiCSIkZgmf5 UDZ 
BUUKifIXZVRHUy8uD2pXP3 btZOrhR9CXUS oF 
EfrvaGv7 ++ yC + IhRJN7 pbg + WEUO = ) 
smtpl. ipamworldwide. com. 86400 IN A 192. 0. 2. 36 
86400 RRSIG A 5 3 86400 20100305135354 ( 
20100203135354 14522 ipamworldwide. com. 
ISISPwoCpLdSfWFFjhfuASY72 DoAQ6dMPAic 
SvhRJWQfoUbis WrGt292z7r7S7 XYIwgRARURO 
JDUSe93 27 Tzbjx04UPDbuheFDYI7r + vDXLj2 
cQgKT4gPJ6UCi2kawWaVbAzPz + ZzV2efxJfc 
fsj ARBSrbNDk1 BOO6IDI3 pfPYhO = ) 
86400 AAAA 2001 ; db8 :4afo:2010::1b 
86400 RRSIG AAAA 5 3 86400 20100305135354 ( 
20100203135354 14522 ipamworldwide. com. 
Jap9zaU4 gWexHzXmtkK8 NtCKGUCE/ AdPf + /d 
yWJCSPG7 ClildQsxCIhbvgLHdQ0 YfFMN5 nvd 
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abt3fybBoTtbNATZeBqFDalMnF3IBzyhChA + 
ODC1 R27LGk7iyOZS zsq055 ZgROpkBbML3 09k 
M7Y + Lx + nM3j44zj6 YoUDsAUvPls = ) 
10800 NSEC smtp2. ipamworldwide. com. A AAAA RRSIG 
NSEC 
10800 RRSIG NSEC 5 3 10800 20100305 135354 ( 
20100203135354 14522 ipamworldwide. com. 
xl YIFJQBUhSOTB/T7 nrntcaB7x96 AK + AAJZT 
787 XIryUwg5 boDkAS MOGNxAoL6nurtbi3 + 6f 
GLDoG4HYLsEmJlamw9 + TANm1u2yLsg5q2viL 
lymrol0 AlpeXNptDevgZ5 + CiRiRKkNw0 + BZ1 
YCrdNJTBUo8p YfZDxdBpihi87 EU = ) 
smtp2. ipamworldwide. com. 86400 IN A 192. 0. 2. 45 
86400 RRSIG A 5 3 86400 20100305135354 ( 
20100203135354 14522 ipamworldwide. com. 
a + qfAnPTIcI7 nBNRhg6 BDZrFuQvBbiLZUPXA 
kSXeLNkwtK5 bodr + jOnZQqUFsCvHw/Gj2FH7 
7L2ROcDto0 QHES WwKy3 AjNtvRGg/ GK54u02v 
A4NEx8 COsgly WPkIC9 Nbndp4 bE2zV 113 04 Wr 
UkAGYtD/ZMv79vhB8 AsLKyfS + yM = ) 
86400 AAAA 2001 ; db8 :4af0 :2011 ; :2b 
86400 RRSIG AAAA 5 3 86400 20100305135354 ( 
20100203135354 14522 ipamworldwide. com. 
jQrvFnE/4JqFSfl6b/GR8j2hv/B +4XmuslCM 
4P2D6 YRYGNhZCeOw4 DY3 U9 fGsg + B8 gZii7U + 
Re9Qe8RyzV + wus gy + 65uvbS19sbh6zfGOrOp2 
P + ZsAy7ROZtPjzEdMLAIJdea4 LdAgUO9IqNo 
Q5ro79H9 GAHptAw2epa + 1 XAp + we = ) 
10800 NSEC w3. ipamworldwide. com. A AAAA RRSIG NSEC 
10800 RRSIG NSEC 5 3 10800 20100305 135354 ( 
20100203135354 14522 ipamworldwide. com. 
gKXAbEocdwlnPIo9 YtwLwOatBlamwpQTEM + e 
rKjgibrj YP1 ymBiRwOs8 InrfXxCbv6v3ix6Q 
1QcQrzKPugVEalxUl6kqqHOLsX Y webixppQX 
Len1z9 Wfimdv23Z6njQrdR + DmF6aQZP1UaiTn 
SPtE26w59 U1 rtcyhm2 pOvqic518 = ) 
www. ipamworldwide. com. 86400 IN CNAME www. ipamworldwide. com. 


86400 RRSIG CNAME 5 3 86400 20100305 135354 ( 
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20100203135354 14522 ipamworldwide. com. 
PTRpKmkZhBw18 cl ZscxI1CL7P23fYgZBsEX9 
DKrawjkyMZ5B + EqQaGNdsfgvmvirrexCzv/K 
MaMaeWBGI4 Bb9 gykm72thXneud5 gHi5zLjsK 
4uK/13 EdWcurQ89 R44 Q7 pTUOy4 yzCdpH/ KDE 
Qjd6P/JrWLn0/ WWOexurwHPFiBE = ) 

10800 NSEC www. ipamworldwide. com. CNAME RRSIG NSEC 

10800 RRSIG NSEC 5 3 10800 20100305 135354 ( 
20100203135354 14522 ipamworldwide. com. 
WOjesvdSJfLuJ617 fA Udfnat9 fd45 OE6 toO7 
GHwkjRPWml Q9C83 WOBgc161 9741/q1 ZKoE6b 
FvFOIIxz4 NhPiJVb2 bUbSL6 Al KOvwD4 KUGIA 
ExKfuPM16/gLOE/Tqcezcp/2ETXm5 yksOkoPJ 
ynOMoLpBlyNlHeJwtPBaHIbE + BO = ) 

www. ipamworldwide. com. 86400 IN A 192. 0. 2. 37 

86400 IN A 192. 0. 2. 53 

86400 RRSIG A 5 3 86400 20100305135354 ( 
20100203135354 14522 ipamworldwide. com. 
xjwhHWIy25 aOvLP2E1 y9 aaN6GRcGUxoN4o0 + P 
eZ0 Wc05 zjl|Du601 ZOCXivrbIOP4LVS7 pqMX3 
be4SQDmzmRDQOH/ + Q8Fzxbfl UFONcVB2uhtV 
6R8 DfNwRwlugoL + 33qE2 MOrrxWz16Jutl2 go 
vk YogNqDj1 MNiikKkoGemJQmiHYc = ) 

86400 AAAA 2001 ; db8 :4af0 :2010 : :25 

86400 AAAA 2001:db8 :4af0 :2006 : :5 

86400 RRSIG AAAA 5 3 86400 20100305135354 ( 
20100203135354 14522 ipamworldwide. com. 
IRoCDp + 0y/HM/xyEdciqO5 cD WcRzxmQCwPbs 
GKrCe + OoYHfTFnSBCAERe Y4 tneb/HMwYbqxV 
SRp5oW2FPDi5 GZunL7tLp7 gFOtF7 M9 X1JVmi 
9PDg9 wiNzDxw/ CgbsN/whbtsRpgbPxQwk ACiP 
eRsNDL3 YS EAxLi24yFw + Qay6uEc = ) 

10800 NSEC ipamworldwide. com. A AAAA RRSIG NSEC 

10800 RRSIG NSEC 5 3 10800 20100305 135354 ( 
20100203135354 14522 ipamworldwide. com. 
auNzMg6x34 + oradbjFKoQquKmB8sAmKe44 FF 
8FCuh7 FI/mrKNHVuvl YmVNXNK/ZHAIJpVYzH 
fpe4 KxPGh8 IcDftEfqd52Z0 Lset YeRvxNzxQ 


242 IP 地 址 管理 原理 与 实践 


sAS + OzClCIiTiEpUNte6siExj7YvhBIPN4e4 
pnkzTKPULWat489Juzo2U77 XysA = ) 

无 需 多 言 ， 对 一 个 区 域 签名 极 大 地 增加 了 区 域 的 尺寸 。 在 给 定 每 条 RRSet 的 额外 
RRSIG 和 NSEC 信息 条 件 下 ， 它 也 增加 了 解析 报 文 尺 寸 ， 更 别提 核验 回 指 ” 一 个 信任 
锚 点 的 信任 链 所 需 潜在 增加 的 额外 消息 流量 了 。 

回去 看 看 我 们 对 数字 签名 过 程 的 讨论 ， 原 始 解析 数据 当然 是 图 13-1 的 要 被 签名 
的 “数据 ”"。 数 据 实际 上 由 整个 RRSet 组 成 ， 它 首先 被 进行 散 列 处 理 ， 之 后 使 用 密 铀 
对 的 私有 密 钥 进行 签名 。 得 到 的 签名 由 每 条 RRSIG 记录 的 签名 字段 组 成 。 因 此 ， 在 
我 们 的 签名 文件 开始 部 分 ， 我 们 有 我 们 的 原始 SOA 记录 ， 后 跟 其 对 应 的 签名 
(RRSIG) 。 之 后 列 出 我 们 的 三 条 NS 记录 。 由 这 三 条 记录 组 成 这 个 RRSet， 依 据 后 面 
的 RRSIG 记录 ， 进 行 签名 处 理 。 类 似 的 ，MX RRSet 被 列 出 并 签名 。 注 意 ，RRSIG ic 
录 指 明 签 名 使 用 的 是 ZSK， 依 据 的 是 密 钥 标签 字段 值 14522。DNSKEY RRSet 本 身 是 
由 KSK 和 ZSK 签名 的 ， 这 由 带 有 相应 KSK 和 ZSK 密 钥 标签 的 两 条 RRSIG 记录 得 到 证 
明 。 通 常情 况 下 ，KSK 仅 对 DNSKEY RRSet 签名 ，ZSK 对 所 有 区 域 RRSet 签名 。 也 要 
注意 ，nsl 和 ns2. eng. ipamworldwide. com 黏 结 记 录 是 不 被 签名 的 ， 原 因 是 这 些 记 录 是 
eng. ipamworldwide. com 区 域 的 权威 记录 ， 而 不 是 ipamworldwide. com 区 域 的 权威 记录 。 

接 下 来 列 出 的 NSEC 记录 ， 提 供 了 记录 的 一 个 规范 排序 ， 用 来 识别 并 认证 一 条 不 
存在 资源 记录 的 一 个 否定 应 答 。 这 条 特别 的 记录 指明 下 一 个 属 主 是 
eng. ipamworlwide. com。 这 条 NSEC 记录 也 被 签名 。 剩 余 的 每 条 RRSet 包括 一 条 NSEC 
记录 和 RRSet 签名 (RRSIG 记录 ) 。 


13.3.4 链接 信任 链 


既然 区 域 已 被 签名 ， 则 您 应 该 确定 它 在 信任 链 中 的 位 置 。 即 确定 父 区 域 是 否 被 签 
名 。 如 果 父 区 域 没 有 被 签名 ， 且 新 的 被 签名 区 域 是 顶层 域 ， 即 该 顶层 域 被 签名 (B 
zone apex; 例如 ， 在 本 书 撰写 时 ，com PRA REAM), (CAE DT ah AE w WY E 
归 解 析 器 ， 必 须 采 用 区 域 的 公开 KSK (作为 一 个 信任 密 钥 ) 配置 。 这 就 通知 该 解析 
器 ， 采 用 这 个 密 钥 签 名 的 区 域 信息 是 可 被 信任 的 。 对 于 那些 解析 器 ， 它 们 信任 我 们 的 
ipamworldwide. com 区 域 管 理 员 的 数据 ， 则 依据 如 下 内 容 ，KSK 06082 公开 密 钥 可 被 配 
置 在 每 台 递 归 服 务 器 named. conf 文件 的 相应 信任 密 钥 (trusted-keys) 语句 内 。 

trusted- keys | 


“ipamworldwide. com. ”257 3 5 
“ AwEAAdSAwGoUBhtjpE8 GLGN4ryt8 yEq7 1 DqdE + ij3 boe9lmvpM02 YZ1/ 
AQxoHbyA7NqgRr + 8dsTM8 OrF2yFRbcP1 y0/9q37T0 PqxLs Hj AZ8 HrDoW9 
R/pC3 XyRe9pMzRNr4as + c/xEISfhxzvR84 CndF5 XvFeh3 HOkVDeTb +7Q 
RrG7 hnph4 P8 w4SMe76tBvxHLFmj3 OdP8 vIUpRAnexEAdclamj1 ZSPjLc 
dICzpDvQB/ LLsYxx8 wx2 hOvTvhxZkl qmy1 dPBtIZu2 A551 VIrUOxgCJx 


O 回 指 是 从 一 个 下 级 点 指向 一 个 上 级 点 。 一 一 译 考 注 
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DjJGCgBbrp1 C01tYSdqlA1I2HCL8eV7io0/CxnCuSThPIXaPLySojJpXU 
eDomWeVYeo0 =”; 

E 

在 递归 服务 器 配置 内 ， 我 们 在 ipamworldwide. com 区 域 处 声明 了 一 个 信任 锚 点 或 
SEP。 注 意 ， 对 于 您 希望 配置 的 每 个 信任 锚 点 ， 都 需要 带 有 相应 KSK 公开 密 钥 的 一 个 
信任 密 钥 表 项 。 如 我 们 后 面 将 讨论 的 ， 您 配置 的 信任 锚 点 越 多 ， 则 在 每 个 区 域 密 钥 切 
换 (rollover) 过 程 中 您 需要 管理 的 密 钥 就 越 多 。 采 用 签名 根 和 TLD 区 域 ， 则 仅 需 要 
维护 一 个 信任 锚 点 。 
自动 化 的 信任 鳃 点 更 新 能 力 ， 这 种 做 法 降低 了 信任 锚 点 切换 的 人 工 管理 需求 。 对 
于 这 样 的 信任 锚 点 ， 并 不 使 用 trusted- keys 语句 ， 而 是 使 用 managed-keys 语句 。 在 下 
面 的 例子 中 ， 我 们 使 用 来 自我 们 的 信任 锚 点 的 公开 KSK 作为 初始 密 铀 。 最 初 这 个 密 
钥 作 为 信任 密 钥 ， 但 随 着 ipamworldwide. com 区 域 的 区 域 管 理 员 依据 BIND 9.7 和 上 面 
提 到 的 定时 能 力 和 自动 化 处 理 方法 ， 进 行 发 布 、 激 活 、 退 役 和 删除 密 钥 ， 这 台 递 归 服 
务 右 将 保持 同步 ， 并 按照 每 个 信任 锚 点 的 方式 维护 它 自己 的 当前 信任 锚 点 密 钥 库 。 因 
此 ， 当 撤销 这 个 初始 密 钥 且 激活 男 一 个 密 钥 时 ， 采 用 新 近 激活 的 密 钥 和 这 个 现在 被 撤 
销 的 密 钥 的 DNSKEY RRSet 签名 ， 就 验证 了 到 新 近 活 跃 密 钥 的 转换 过 程 。 


managed- keys | 


l 


“ipamworldwide. com. ” initial- key 257 3 5 
“ AwEAAdSAwGoU BhtjpE8 GLGN4ryt8 yEq7 1 DqdE + ij3 boe9 ImvpM02 YZ1/ 
AQxoHbyA7NqgRr + 8dsTM8 OrF2yFRbcP1 y0/9q37T0 PqxL5 HjAZ8 HrDoW9 
R/pC3 XyRe9pMzRNr4as + c/xEISfhxzvR84 CndF5 XvFeh3 HOkVDeTb +7Q 
RrG7hnph4 P8 w4SM¢76tBvxHLFmj3 OdP8 vIUpR AnexEAdclamj1 ZSPjLc 
dICzpDvQB/LLs Yxx8 wx2 hOvTvhxZklqmy1 dPBtIZu2 A551 VIrU0xgCJx 
DjJGCgBbrp1 CO1tYSdqlA11I2HCL8eV7io0/ CxnCuSThPIXaPLySojJpXU 
eDomWeVYeo0 =” ; 
t; 
现在 如 果 刚 被 签名 的 区 域 ， 是 一 个 被 签名 父 区 域 的 一 个 子 区 域 ， 则 父 区 域 管理 员 
必须 在 父 区 域 文件 中 包括 委托 签名 者 记录 ， 以 此 链接 信任 链 。 采 用 这 种 方式 ， 父 区 域 
可 担保 这 个 被 签名 的 子 区域 。 因 此 ， 针 对 这 个 区 域 的 信任 锚 点 不 需要 配置 在 解析 器 或 
递归 服务 器 中 ， 仅 配置 它 的 父 区 域 或 甚至 较 高 层次 祖先 的 被 签名 区 域 。 
Dnssec-signzone 设施 工具 的 -g 选项 ， 自 动 地 在 一 个 dsset-ipamworldwide. com 文件 
中 为 区 域 产生 我 们 的 DS 记录 。 该 文件 包含 两 条 DS 记录 ， 其 中 一 条 记录 可 依据 首选 
摘要 类 型 进行 选择 。 在 下 面 的 例子 中 ， 在 摘要 之 前 所 示 的 整数 指明 摘要 类 型 。 类 型 1 
是 SHA-1、 类 型 2 是 SHA-256。 接 下 来 是 摘要 ， 它 是 作为 一 个 散 列 计算 得 到 的 ， 即 采 
用 被 签名 区 域 的 相应 摘要 类 型 或 算法 对 KSK DNSKEY 资源 记录 属 主 和 RData 字段 
( 即 KSK DNSKEY 记录 ， 忽 略 TIL、 类 和 类 型 ) 计算 得 到 的 。 
ipamworldwide. com. 


INDS60825 15 F696637 B085 D8 FS CBFDOC8 B9 E03 1 CB6CB07159B 
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ipamworldwide. com. IN DS 6082 5 2 

7FFD9203E916B5D49F631DO60FAFD05D26974BEFCED25AACB88122722FE4A7AA9 

以 认证 记录 或 其 签名 子 区 域 (委派 的 ) 中 的 不 存在 性 (nonexistence), EREA 
者 资源 记录 类 型 提供 了 从 一 个 父 区 域 到 一 个 委派 子 区 域 的 密 钥 的 链接 ， 作 为 信任 链 内 
的 一 个 链接 。 接 下 来 我 们 将 在 解析 过 程 内 详细 讨论 这 是 如 何 工 作 的 。DS 资源 记录 具 
有 如 下 格式 


属 主 TTL 类 类 型 RData 
委派 域 TIL IN DS 密 钥 标签 、 算 法 ”类 型 ”摘要 
ipamworldwide. com. 86400 IN DS 6082 5 1 SF695D8FSBFDOC... 


DS 记录 的 RData 部 分 识别 子 区 域 的 公开 密 钥 的 密 钥 标签 或 ID ， 而 算法 则 匹配 引 
用 (referenced) DNSKEY 记录 的 算法 字段 。 摘 要 类 型 指明 在 摘要 字段 携带 的 散 列 或 
摘要 的 类 型 。 有 效 摘要 类 型 值 是 1 (SHA-1) 或 2 (SHA-256) 。 摘 要 字段 包含 对 应 子 
KINZ \ 开 密 铀 KSK DNSKEY 资源 记录 属 主 字段 与 相同 DNSKEY 记录 RData FERRE 
后 的 摘要 或 散 列 结 果 。 父 区 域 管理 员 将 DS RRSet 添加 到 父 区 域 ， 并 对 其 签名 ， 来 认 
证 它 的 源 发 性 和 完整 性 。 

在 BIND 9.6 中 ， 引 入 了 一 个 新 的 设施 工具 dnssec- dsfromkey。 在 不 需要 合用 dns- 
sec-signzone 对 区 域 重 新 签名 的 条 件 下 ， 这 个 设施 工具 支持 DS 资源 记录 生成 。 这 个 设 
施工 具 带 有 如 下 参数 。 

(1) -1: 使 用 SHA-1 作为 摘要 算法 。 

(2) -2: 使 用 SHA-256 作为 摘要 算法 。 

(3) -a 算法 : 其 中 算法 如 下 。 

1) SHA-1。 

2) SHA-256。 

(4) -A; 为 生成 DS 记录 ,包括 ZSK 和 KSK; 如 果 忽 略 的 话 ， 则 仅 产 生 KSK 的 
DS 记录 。 

pe anes nec 

(6) -d 目录 : 密 钥 集合 文件 的 目录 位 置 。 

ene 指定 一 个 区 域 文件 名 ， 而 不 是 指定 密 钥 文 件 名 。 

(8) -1 Sh (domain) : 生成 一 个 DLV 集合 (而 不 是 一 个 DS 集合 ) ， 并 将 域 ( do- 
main) 附加 在 集合 中 的 每 条 记录 。 

(9) -K 目录 : 定义 密 钥 文件 所 处 的 目录 。 

(10) -s: 命令 参数 是 一 个 域名 ， 而 不 是 一 个 密 钥 文件 名 。 

(11) -v GR: 指定 调试 等 级 。 

dnssec-dsfromkey 设施 工具 可 依据 一 个 密 钥 文 件 或 一 个 域名 ， 生 成 DS 或 DLV 记 
K; -s 参数 将 参数 定义 为 一 个 域名 

dnssec-dsfromkey -s [-v level] [-1] [-2] [-a algorithm] [-1domain] keyfile 

忽略 -s 的 做 法 ， 则 将 参数 识别 为 一 一 个 密 钥 文 件 名 。 
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dnssec-dsfromkey | -v level] [-1] [-2] [-a algorithm] [-1 domain] [ -K directory | 
[ -ce class] [-f file] [-A] domainname 


13.4 DNSSEC 解析 过 程 


现在 让 我 们 回顾 一 下 解析 过 程 和 验证 过 程 是 如 何 工作 的 。 将 上 面 的 信任 密 钥 或 管 
理 密 钥 语句 配置 到 我 们 的 递归 服务 器 配置 (named. conf) 之 中 ， 则 我 们 声明 ipam- 
worldwide. com 为 一 个 信任 区 域 。 当 我 们 发 出 对 ipamworldwide. com 区 域内 一 台 主 机 
(例如 ftp-support. ipamworldwide. com) 的 一 条 查询 时 ， 我 们 的 解析 器 就 设置 EDNS0 H 
展 Reode 字段 中 的 DNSSEC OK (DO) 比特 。DNSSEC 要 求 EDNS0， 为 的 是 支持 这 个 
扩展 的 Reode 字段 ， 并 且 一 般 而 言 ， 对 于 大 量 的 响应 报 文 ， 看 来 也 超过 了 标 称 的 512 
FP UDP 报 文 限制 。 报 文 长 度 增 加 的 原因 是 由 于 服务 器 的 响应 造成 的 ， 它 配置 有 权 
威 的 签名 区 域 ， 不 仅 带 有 被 请 求 的 解析 数据 (ftp-support. ipamworldwide. com 的 A id 
录 (可 能 有 多 条 记录 ) ) ， 而 且 带 有 与 A 记录 集合 关联 的 关联 记录 。 


13. 4.1 验证 签名 


签名 过 程 对 资源 记录 集合 签名 ， 这 些 集合 是 带 有 共同 属 主 名 、 类 和 类 型 的 资源 记 
录 分 组 。 签 名 是 使 用 由 密 钥 标 签 参 数 索 引 的 私有 密 钥 产 生 的 ， 并 被 放置 在 RRSIG 资 
源 记 录 的 签名 字段 内 。 
RRSIG 资源 记录 具有 如 下 格式 。 
属 主 TTL 类 类 型 RData 
覆盖 的 类 型 算法 标签 原始 TTL 超期 
开始 时 间 ” 密 钥 标 签 ” 签 名 者 ”签名 


RRSet 属 主 TIL IN RRSIG 


A 5 3 86400 20100305215354 20100203215354 
ftp- support. ipamworldwide. com. | 86400 IN RRSIG 


14522 ipamworldwide. com. umyI… 


RRSIG 记录 内 的 RData 字段 定义 如 下 。 

(1) 覆盖 的 类 型 。 由 这 个 签名 所 覆盖 的 资源 记录 集 类 型 。 在 我 们 的 例子 中 ， 由 
这 个 签名 覆盖 的 是 A 记录 类 型 ， 它 对 带 有 属 主 ftp- support. ipamworldwide. com. 的 我 们 
的 两 条 资源 记录 RRSet 进行 了 签名 。 

(2) 算法 。 生 成 该 密 钥 过 程 中 使 用 的 算法 ， 它 以 DNSKEY 资源 记录 类 型 的 算法 
字段 ( 见 前 面 的 DNSKEY) 一 样 的 方式 进行 编码 。 

(3) 标签 数量 。 指 明 属 主 字 段 内 的 标签 数 。 例 如 ，ftp- support. ipamworldwide. com 
有 三 个 标签 。 这 个 字段 被 用 来 重 构 原始 的 属 主 名 ,该 名 被 用 来 在 如 下 情形 下 产生 签 
名 ， 其 中 由 服务 器 返回 的 属 主 名 有 一 个 通配符 ( * )。 

(4) 原始 TTL。 依 据 在 权威 区 域 定 义 的 被 签名 RRSet 的 TITL， 来 核验 一 个 签名 。 
需要 这 个 字段 ， 原因 是 在 原始 响应 中 返回 的 TTL 字段 ， 正 常情 况 下 ， 会 被 一 个 缓存 
解析 需 减 少 ， 使 用 TTL 字段 可 能 导致 错误 的 计算 。 
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(5) 签名 超期 。 这 个 签名 超期 的 日 期 和 时 间 ， 表 示 为 自 19%70 年 1 月 1 日 00: 
00:: 00 UTC 以 来 的 秒 数 ， 或 以 YYYYMMDDHHmmSS 形式 表示 ， 其 中 

1) YYYY 是 年 (在 当前 日 期 的 68 年内， 目的 是 防止 这 个 字段 的 数值 回 绕 ) 。 

2) MM 是 月 份 , 01 ~ 12。 

3) DD 是 该 月 中 的 日 ，01 ~ 31。 

4) HH 是 24h 表示 法 中 的 hn，00 ~23。 

5) mm 是 min，00 ~59, 

6) SS 是 s，00 ~59。 

7) 在 这 个 日 期 、 时 间 之 后 ， 签 名 是 无 效 的 。 

(6) 签名 开始 时 间 。 这 个 签名 开始 时 的 日 期 和 时 间 ， 其 格式 与 签名 超期 字段 的 
方式 相同 。 在 这 个 日 期 /时 间 之 前 的 签名 是 无 效 的 。 

(7) 密 钥 标签 。 以 密 钥 ID 或 标签 提供 与 相应 密 钥 (DNSKEY 资源 记录 (可 能 
多 条 ) ) 的 一 种 关联 。 

(8) 签名 者 的 名 字 。 识 别 DNSKEY 资源 记录 的 属 主 名 ， 用 其 来 产生 这 个 签名 。 

(9) 签名 。 密 码 学 签名 ， 涵 盖 RRSIG RData (除了 这 个 签名 字段 自身 ) 和 资源 记 
录 串 接 部 分 ， 资 源 记 录 是 由 RRSIG 属 主 识别 的 RRSet、 类 和 涵盖 的 类 型 字段 组 成 的 。 

因此 ， 对 我 们 的 查询 的 响应 ， 包 括 A 记录 和 关联 的 RRSIG 记录 ， 由 这 条 响应 指 
明 ， 响 应 是 由 如 下 的 dig 设施 工具 捕获 到 的 。 服 务 器 将 在 响应 中 的 DNS 首部 中 设置 认 
证 数据 (AD) 比特 ， 仅 当 它 已 经 认证 了 (以 密码 学 方式 验证 的 ) 所 有 包括 在 答案 节 
中 的 资源 记录 以 及 所 有 包括 在 权威 节 中 的 负面 响应 资源 记录 。 注 意 ， 如 果 您 查询 了 作 
为 所 发 出 查询 的 权威 服务 器 ， 则 AD 比特 将 不 被 设置 。 这 台 服 务 器 简单 地 返回 答案 ， 
并 将 验证 工作 直接 留 给 查询 器 处 理 。 如 果 您 查询 您 的 递归 服务 器 ， 它 不 是 所 查询 信息 
的 权威 服务 器 ， 则 它 将 实施 解析 和 DNSSEC 验证 ， 如 果 验 证 成 功 ， 则 将 在 结果 中 设置 
AD 比特 。 我 们 将 在 第 14 章 回 顾 dig 设施 工具 的 细节 ， 在 验证 并 排查 区 域 配置 问题 
中 ， 该 工具 是 非常 有 用 的 。 

$ dig + dnssec A ftp- support. ipamworldwide. com. @ 127. O. 0.1 


;< < > >DiG9.6.2< < > > +dnssec A ftp-sf. ipamworldwide. com. @ 127. 0. 0. 1 
; (1 server found) 

3; global options; printemd 

;; Got answer; 

33; -> > HEADER < < opcode; QUERY, status; NOERROR, id; 462 

292 SECURING DNS (PART II ) : DNSSEC 

;; flags: qr aa rd ra; QUERY: 1, ANSWER; 3, AUTHORITY; 2, ADDITIONAL: 3 
;; OPT PSEUDOSECTION : 

; EDNS: version; 0, flags: do; udp: 4096 

;; QUESTION SECTION; 

;ftp- sf. ipamworldwide. com. IN A 

;; ANSWER SECTION; 
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ftp-sf. ipamworldwide. com. 86400 IN A 10. 1.32.9 
ftp-sf. ipamworldwide. com. 86400 IN A 10. 1.32.5 


ftp-sf. ipamworldwide. com. 86400 IN RRSIG A 5 3 86400 20100525173519 
20100425173519 14522 ipamworldwide. com. owHoS6b1 xTNKuzJjgJs3 nL4 Kwr- 


LehnfixVj)AF2T6 RHu4dVmq4wl p + FNC Oji2BkWKOhjY3 

R5 YeSSRzzFy/d63 Riz3bQ5 BANbGRqpTn6Q9 HQOlm + 
Ynme4nhT9 

+ 28hS5ahdwtk9 Etl = 

;; AUTHORITY SECTION; 

ipamworldwide. com. 86400 IN NS ns. ipamworldwide. com. 


+ 7jU4doFr/RNioe8 vmsqyn 
KYSpwY5 CrjqOQnP + 


ipamworldwide. com. 86400 IN RRSIG NS 5 2 86400 20100525173519 
20100425173519 14522 ipamworldwide. com. OLonIvBmJZDEZoRRvOiq7 GnlWnr- 


8LTWHtKSR60CJNI3 hd23 Vvkbq/ EkV 


46wp60K6Q0qNtJGE + YqF W9xml7d6kQRZOqlyCiDZqHQinV7L1Aa0 Da8z5 + 


UGduD3 gVLceES71vGZpLlbyUm9 kFGf5 FhPZ/ 
JciPF4qkUdAvfEeitu/aY = 

;; ADDITIONAL SECTION; 

ns. ipamworldwide. com. 86400 IN A 10. 1. 32. 4 

ns. ipamworldwide. com. 86400 IN RRSIG A 5 3 86400 201 


00525173519 


20100425173519 14522 ipamworldwide. com. THtLJaWam57mVoY CgFqlEPC9N9p7 n- 
Wicy7 MBvdQP6 PgNfhnOTOg2vQHR rORDdBWBmgaSRoiWSdF2IQTEfH4T16591 - 
OEjtBnPR/7zRAxU9 abnk UDvGCZs AF fqKfWxBZFrxUTbxloekEhMC98 FqCnvaRIsLN Y - 


biP/ 
OKhehWmBF nlA = 
已 经 接收 到 RRSet (数据 ) 和 RRSIG (签名 ) 的 递归 月 


Rae eras, UNAS DN- 


SKEY RRSet 没有 被 缓存 或 在 响应 的 附加 节 中 提供 的 话 ， 之 后 递归 服务 器 或 解析 器 会 


发 出 一 条 DNSKEY 查询 ， 以 便 得 到 DNSKEY RRSet。 采 用 标签 14522 的 密 钥 处 理 


RRSIG 记录 中 的 签名 ， 并 与 RRSet 内 和 资源 记录 串 接 在 一 起 的 RRSIG RData (去 掉 签 


名 ) 的 散 列 比较 。 如 果 比 较 得 到 一 次 匹配 ， 则 签名 被 成 功 


核验 通过 。 接 下 来 ，DNS- 


KEY RRSet 的 RRSIG 被 用 来 核验 ZSK 本 身 。 和 刚刚 描述 核验 A RRSet 一 样 ， 解 析 器 
或 递归 服务 器 实施 一 种 类 似 的 计算 ， 就 公开 KSK 签名 来 核验 DNSKEY RRSet。 考 虑 成 


功 的 匹配 和 这 样 的 事实 ， 即 公开 KSK 匹配 一 个 配置 的 信任 
核验 了 RRSet 数据 。 
13.4.2 经 过 认证 的 存在 性 拒绝 


如 果 我 想 查 询 一 个 主机 名 ， 但 我 融 错 了 ， 会 发 生 什 么 
下 ， 我 将 接收 到 一 条 错误 (NXDOMAIN) 信息 ， 指 明 记录 
在 的 弱点 ，DNSSEC 集成 下 一 条 安全 (Next SECure, NSEC 


密 钥 ， 因 此 我 们 就 成 功 地 


呢 ? 在 没有 DNSSEC 条 件 
不 存在 。 为 了 解决 这 种 洪 
) 信息 资源 记录 ， 提 供 匹 
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配 查询 的 一 条 记录 不 存在 性 认证 的 一 种 方法 。 本 质 上 而 言 ，NSEC 记录 在 区 域 文件 内 
从 一 个 RRSet 指向 下 一 个 RRSet， 识别 RRSet 之 间 的 间距 。NSEC 记录 的 格式 如 下 。 


属 主 TTL 类 类 型 RData 
RRSet 属 主 TTL | IN | NSEC 下 一 条 RRSet 属 主 类 型 比特 映射 
nsl. ipamww. com. | 86400 IN NSEC ns2. ipamww. com. A AAAA RRSIG NSEC 


在 这 个 例子 中 ， 与 属 主 nsl. ipamww. com 关联 的 NSEC 记录 ， 指 明 以 规范 顺序 表 
示 的 下 一 个 属 主 名 是 ns2. ipamww. com, 这 个 属 主 名 (n1) 与 类 型 为 A、AAAA、 
RRSIG 和 NSEC 的 资源 记录 一 起 存在 。 这 条 记录 指明 ， 在 nsl. ipamworldwide. com 和 
ns2. ipamworldwide. com 之 间 不 存在 规范 化 的 任何 记录 ， 例 如 nsla. ipamworldwide. com, 
每 个 NSEC RRSet 也 采用 私有 ZSK 签名 ， 私 有 ZSK 接 下 来 和 一 个 信任 KSK 进行 比 对 
核验 。 

NSEC3 提供 RRSet 的 类 似 经 过 认证 的 存在 性 拒绝 指示 ， 但 它 也 在 区 域 中 混杂 RR- 
Set 的 平凡 枚 举 ， 这 被 认为 是 一 项 信息 安全 风险 。 因 为 NSEC3 记录 使 用 一 个 精 选 值 
(salt) 和 经 过 散 列 处 理 过 的 属 主 姓名 ， 这 进一步 使 散 列 字段 产生 函数 复杂 化 了 ， 要 
枚 举 该 区 域 ， 从 计算 角度 看 代价 是 较 高 昂 的 。 如 此 ， 当 对 区 域 签名 以 及 当 对 指明 记录 
不 存在 的 查询 解析 进行 核验 时 ， 计 算 代 价 也 是 高 昂 的 。 


13.4.3 在 一 个 信任 链 中 的 父 区 域 委派 


现在 让 我 们 扩展 我 们 的 例子 ， 来 形象 地 说 明生 成 到 一 个 信任 锚 点 的 内 部 区 域 信任 
链 中 DS 记录 的 角色 。 考 虑 图 13-3， 其 中 我 们 从 解析 的 数据 到 信任 销 点 一 路 仔细 研 
究 。 让 我 们 假定 ipamworldwide. com. KI ( 密 钥 ID =06082) 的 公开 KSK 被 配置 为 我 
的 递归 服务 器 中 的 一 个 信任 锚 点 。 当 我 发 出 对 host. child. ipamworldwide. com. 的 一 条 
A 记录 查询 时 ， 名 字 解 析 遵 循 传统 的 域 树 遍历 过 程 ， 以 便 得 到 一 个 缓存 的 或 权威 的 答 
案 。 假 定 我 设置 了 DO 比特 ， 则 返回 解析 RRSet 和 对 应 的 RRSIG 记录 。 递 归 服 务 器 可 
采用 child. ipamworldwide. com 的 ZSK ( 密 钥 ID =98211) 核验 RRSIG， 如 图 13-3 中 标 
记 “1” 的 箭头 所 示 。 接 下 来 ， 依 据 步 又 2， 可 采用 区 域 的 KSK ( 密 钥 ID = 45443 ) 
核验 ZSK。 考 虑 到 我 没有 将 这 个 KSK 配置 为 一 个 信任 销 点 ， 所 以 我 不 能 信任 这 个 数 
据 。 但 是 ， 递 归 服 务 器 查询 父 区 域 ipamworldwide. com， 查 询 一 条 DS 记录 ， 来 确定 是 
否 父 区 域 可 认证 这 个 区 域 的 数据 。 这 个 过 程 如 图 13-3 中 的 步骤 3 所 示 。 

如 果 DS 记录 摘要 匹配 相应 的 child. ipamworldwide. com 区 域 的 KSK DNSKEY 数据 ， 
则 我 就 能 够 得 出 结论 ， 即 ipamworldwide. com. 区 域 已 经 对 child. ipamworldwide. com 的 
委派 进行 了 签名 。 之 后 递归 服务 需 将 DS 记录 上 的 签名 与 ipamworldwide. com 的 ZSK 
( 密 钥 ID =14522) 核验 ， 接 下 来 是 它 的 KSK ( 密 钥 ID = 06082) ， 后 者 被 配置 为 一 个 
信任 密 钥 。 因 此 ， 通 过 反 向 到 一 个 配置 的 信任 锚 点 的 信任 链 ， 我 们 确认 原始 数据 被 解 
析 为 信任 的 。 对 于 沿 域 树 向 上 到 签名 根 域 的 任何 数量 的 父 区 域 - 子 区 域 重 复 ， 可 使 用 
根 区域 信 任 销 点 ， 重 复 这 个 相同 的 过 程 。 最 终 我 必须 在 我 的 查询 可 施用 的 区 域 或 其 祖 
先 区 域 之 一 配置 一 个 信任 密 钥 。 考 虑 各 种 区 域 (包括 反 向 区 域 )， 它 们 需要 对 查询 进 
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ipamworldwide.com. 区 域 


© @DNSKEY 06082;KSK 


[~ RRSIG(06082) 
子 DS(45443) 
RRSIG DS(,..) 


DNSKEY 14522;ZSK =< 


© 


ipamworldwide.com 


child.ipamworldwide.com. X 4% 


/ 
(2) @DNSKEY(45443):KSK 


所 | DNSKEY(98211);:2SK 
[> RRSIG DNSKEY(45443) 
主机 A 10.10.10.1 
主机 RRSIG A(98211) 


行 认 证 ， 这 个 信任 锚 点 集 可 快速 地 变 得 非 
WEK, 

DNSSEC 旁 查核 验 ， 作 用 为 在 根 区 域 
被 签名 时 间 之 前 ， 有 助 于 保持 信任 销 点 集 
合 在 一 个 可 管理 的 水 平 。DLV 利用 签名 
区 域 公开 密 钥 的 一 个 中 心 式 注册 库 (reg- 
istry) 。 通 过 将 DLV 注册 库 配置 为 一 个 信 
任 锚 点 ， 由 此 您 可 信任 DLV 注册 库 和 所 
有 它 认证 的 “ 子 ” 区 域 。 这 些 区 域 不 是 
DLV 的 真正 子 区 域 ， 而 是 DLV 认证 的 区 
域 。 区 域 管理 员 以 一 种 安全 的 方式 将 它们 
签名 的 区 域 密 钥 注册 到 DLV 注册 库 ， 以 


child.ipamworldwide.com 


四 


图 13-3 DNSSEC 信任 链 遍 历 


dlv 注册 库 


图 13-4 DLV 信任 链 


此 维护 这 个 “ 旁 查 ”或 “ 旁 路 ”( sideways) 信任 链 ， 这 与 我 们 刚 讨论 的 域 树 父 - 子 信 


任 链 截然 不 同 。 


图 13-4 形象 地 说 明了 这 个 概念 。 在 没有 根 和 TLD 区 域 签名 的 条 件 下 ， 不 得 不 针 
对 每 个 信任 区 域 配 置信 任 密 钥 。 在 图 中 ， 这 些 被 表示 为 ipamww. com, 192. in-ad- 
dr. arpa 和 一 个 . net 区域 。 通 过 使 用 DLV HEA, DLV 对 DS 等 价 的 DLV 记录 进行 签 
名 ， 目 的 是 认证 每 个 “ 子 ” 区 域 的 KSK。 一 个 DLV 注册 库 的 优势 是 在 您 的 组 织 机 构 
中 的 每 台 递归 服务 器 中 降低 被 管理 的 密 钥 数 量 。 如 图 13-4 所 示 ， 如 果 DLV 对 三 个 区 
域 密 钥 签 名 ， 则 您 仅 需 要 关注 DLV 的 密 钥 轮换 (rollover) ， 而 不 是 作为 组 成 部 分 的 这 
三 个 密 钥 。 必 须 完全 地 信任 DLV 注册 库 ， 原 因 是 它 所 认证 的 区 域 不 是 为 注册 库 月 


可 选择 接受 的 〈 即 必须 接受 ) 。 


HJ 
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针对 DLV 注册 库 ， 必 须 输 入 一 个 信任 密 钥 语句 ， 且 仅 有 一 个 DLV 注册 库 可 被 如 
此 引用 。 如 我 们 在 前 面 所 展示 的 ， 通 过 将 DLV 的 公开 KSK 配置 在 trusted-keys 语句 块 
的 做 法 ， 在 递归 名 字 服 务 器 中 识别 DLV。 当 在 名 字 解 析 过 程 中 构建 一 个 信任 链 时 ， 递 
归 上 服务 器 将 尝试 构建 指向 一 个 配置 信任 锚 点 的 反 向 链 ; 如 果 不 存 在 一 条 有 效 的 链 ， 它 
将 尝试 通过 DLV 核验 信任 链 。DLYV 注册 库 必 须 能 够 认证 其 注册 的 区 域 ， 这 很 像 一 个 
父 区 域 核验 其 子 区 域 KSK 的 方式 。DLYV 资源 记录 用 于 这 个 目的 ， 其 格式 等 同 于 DS 资 
源 记录 类 型 。 它 实施 一 个 等 价 的 功能 ,但 不 是 在 传统 的 父 - 子 委派 链 中 执行 。 


BE TTL 类 类 型 RData 
DLV 域 TIL IN DLV 密 钥 标签 ”算法 ”类 型 ”摘要 
ipawmww. com. dlv_reg. net. 86400 IN DLV 32284 5 1 90df80DF89ILe. . . . 


当 递 归 服 务 器 发 出 其 最 后 一 招 ， 尝 试 核验 一 个 区 域 中 的 数据 时 ， 它 在 DLV 注册 
库 中 寻找 对 应 于 那个 存在 问题 区 域 的 DLV 记录 。 在 递归 服务 器 中 是 通过 dnssec-looka- 
side 语句 识别 DLV 注册 库 的， 这 种 语句 配置 在 named. conf 的 选项 块 内 。 这 条 语句 识 
别提 升 到 DLV 注册 库 的 域 树 分 支 是 有 效 的， 以 及 到 信任 锚 点 的 一 个 索引 ， 该 信任 
锚 点 是 在 trusted-keys 语句 中 识别 的 。 例 如 ， 下 面 的 语句 表明 ， 在 gov. domain 内 的 
解析 可 被 提升 到 dlv. us. 并 被 信任 ,条件 是 dlv. us 公开 KSK 匹配 配置 的 dlv. us 信任 
密 钥 。 


dnssec-lookaside “gov” trust-anchor “dlv. us” ; 


13.5 ” 密 钥 轮换 


DNSSEC 管理 上 最 密集 的 任务 是 处 理 密 钥 轮换 过 程 ， 特 别 是 KSK 轮换 过 程 。 就 像 
密码 一 样 ， 密 钥 必 须 被 周期 性 地 改变 。 最 好 的 方法 ， 是 向 可 能 的 攻击 者 提供 一 个 移动 
的 目标 。 独 立 的 密 钥 签 名 和 区 域 签 名 密 钥 的 用 法 ， 有 助 于 这 个 过 程 的 管理 。 这 是 由 于 如 
下 事实 ， 即 在 不 影响 任何 其 他 人 的 条 件 下 ， 任 何 一 名 区 域 管理 员 均 可 使 用 一 个 ZSK 简单 地 
对 他 的 /她 的 区 域 重新 签名 。 无 论 何 时 使 用 ZSK 时 ， 它 最 终 都 是 采用 KSK 签名 的 ，KSK 可 
被 配置 为 一 个 信任 锚 点 或 由 一 个 DS 或 DLV 资源 记录 索引 。 因 此 ，ZSK 可 依据 意愿 进行 改 
变 。 但是， 因为 各 KSK 被 配置 为 信任 锚 点 ， 并 可 能 为 其 他 区 域 的 DS 或 DLV 记录 索引 ， 所 
以 它们 确实 会 影响 其 他 管理 员 ， 并 要 求 采 用 一 个 非常 严格 的 集成 过 程 。 

用 于 密 钥 轮换 的 两 种 基本 方法 是 预 产 生 (preseeding) 密 钥 (对 应 ZSK 轮换 是 有 
效 的 ) 和 双 密 钥 签 名 方法 (可 被 用 于 轮换 KSK) 。 密 钥 发 行 (不 是 有 意 的 双关 语 ( 指 
issue) ) 和 轮换 与 递归 服务 器 和 解析 器 中 被 缓存 解析 和 签名 信息 的 更 新 有 关 。 当 一 个 
解析 器 得 到 认证 的 解析 信息 时 ， 它 将 在 原始 记录 TTL 的 时 间 段 内 缓存 这 个 信息 ， 包 
括 含 ZSK 和 KSK 的 DNSKEY 记录 。 在 TIL 超期 之 后 ,解析 器 必须 发 出 请 求 相应 信息 
的 一 条 新 查询 。 如 果 一 名 区 域 管理 员 实 施 一 个 新 密 钥 蔡 换 一 个 旧 密 钥 的 瞬间 切换 
(flash cut), ， 则 以 旧 密 钥 (依据 其 TIL 仍然 有 效 ) 实施 查询 的 解析 医 和 递归 服务 器 ， 
将 不 能 够 认证 该 区 域内 使 用 新 密 钥 签名 的 所 解析 数据 。 图 13-5 形象 地 说 明了 这 种 时 
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间 影 响 。 因 此 ， 维 护 一 个 窗口 ， 在 其 间 密 钥 更 新 密 钥 ,新 的 签名 
更 新 可 被 传播 且 两 个 或 多 个 密 钥 都 是 有 效 
的 ， 这 构成 基本 的 轮换 技术 。 

让 我 们 首先 考虑 图 13-6， 讨 论 和 比较 两 
种 常见 的 轮换 策略 。 如 果 ， 如 果 可 能 的 话 ， 


ZSK 和 KSK 轮换 应 该 是 独立 发 生 的 。 我 们 6 Qi 
将 假定 预 产 生 策略 被 应 用 到 ZSK 轮换 ， 而 双 : : 


密 钥 签名 方法 被 应 用 到 KSK 轮换 。 首 先 研 MTTL 
究 ZSK 轮换 ， 我 们 的 初始 条 件 是 ， 一 个 区 域 UA 
以 ZSK [ 密 钥 标签 ] 14522 和 KSK 6082 签 Hess 
名 ， 由 笔 形 图 符 指示 。 在 时 间 4。， 预 产生 时 yray 

间 为 1s， 产生“ 被 动 的 ”ZSK 28004， 使 用 MARAE / \ 


的 是 dnssec-keygen 工具 或 通过 BIND 9.7 + © Q 桩 解析 器 
自动 化 方法 ， 其 相应 的 DNSKEY 资源 记录 被 
包括 在 区 域 文件 中 ， 还 有 主动 的 ZSK 14522 。 图 13-5 区域 信 息 传播 


在 区 域 文件 中 插入 或 包括 ZSK 28004 之 后 ， 
必须 对 区 域 重新 签名 ,仍然 使 用 的 是 ZSK 14522。 被 动 的 ZSK 本 身 使 用 主动 密 钥 签 
名 ,并 可 由 解析 器 和 递归 服务 器 缓存 ， 但 还 没有 用 来 对 区 域 数 据 签名 。 

一 旦 发 布 的 话 ， 这 两 个 密 钥 都 应 该 保留 在 区 域 文 件 中 ， 直 到 所 有 从 属 服务 器 通过 
区 域 传递 得 到 区 域 文件 ， 以 及 密 钥 超 期 时 间 之 后 ， 才 可 被 去 除 。 密 钥 超 期 时 间 应 该 比 
区 域 或 资源 记录 TTL 要 长 。 当 在 时 间 t，( 轮换 时 间 ) 过 了 这 个 时 间 时 ,对 该 区 域 重 
新 签名 ， 这 次 使 用 的 是 前 面 的 被 动 ZSK 28004。 在 等 价 间 隔 期 间 ， 直 到 时 间 六 之 
前 ， 前 面 的 主动 ZSK 可 留 在 区 域 之 中 ， 之 后 会 从 区 域 文 件 中 被 去 除 。 取 决 于 ZSK 
轮换 的 频率 ， 时 间 可 对 应 于 下 一 个 密 钥 轮换 周期 的 ， 其 中 区 域 将 总 是 有 两 个 
ZSK， 一 个 是 主动 的 、 一 个 是 被 动 的 。 和 否则 ， 在 这 个 时 间 点 ， 仅 有 主动 ZSK 存在 于 
区 域内 。 


ipamworldwide.com 区 域 文件 
KSK 6082 
ZSK 14522 === | ipamworldwide com 区 域 文件 | [ipamworldwide.com 区 域 文件 
KSK 6082 A KSK 6082 
ZSK 14522 A ZSE 14522 

ZSK 28004 2 


ZSK 28004 


ipamworldwide ,com 区 域 文件 
KSK 6082 


ZSK 28004 -< 


时 间 


10 ti b 
113-6 DNSSEC 预 产 生 密 钥 轮 换 策 略 [01 
现在 让 我 们 详细 研究 双 密 钥 签名 轮换 方法 ， 如 图 13-7 所 示 。 这 个 过 程 开始 时 与 


我 们 前 一 个 例子 中 的 初始 条 件 相 同 。 在 轮换 时 间 1,。， 使 用 带 有 -k 选项 的 dnssec-keygen 
工具 生成 一 个 新 的 KSK70810。 现 在 利用 当前 KSK、 新 的 KSK 以 及 主动 ZSK, 使 用 
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ipamworldwide.com 区 域 文件 

KSK 6082 

ZSK 14522 一 cz ipamworldwide.com 区 域 文件 ipamworldwide.com 区 域 文件 
KSK 6082 o KSK 70810 
KSK 70810 ZSK 14522 
ZSK 14522 A 


时 间 


加 4 
Al 13-7 DNSSEC 双 密 钥 签名 密 钥 轮换 策略 [1 


dnssec- signzone 工具 对 区 域 签 名 。 回 顾 一 下 ， dnssec- signzone 人 允许 指定 多 个 KSK。 之 
后 必须 将 新 KSK 的 公开 密 钥 传 递 给 利用 这 个 区 域 作 为 一 个 信任 锚 点 的 所 有 解析 器 / 递 
归 服 务 器 。 男 外 ， 必 须 更 新 认证 这 个 区 域 的 父 区 域 。 

当 使 用 -g 选项 时 ，dnssec-signzone 工具 的 一 个 输出 包括 一 个 dsset- < zonename > 
文件 ， 该 文件 包含 可 包括 在 父 区 域 文件 中 的 相应 DS 资源 记录 (可 能 是 多 条 记录 )。-1 
选项 生成 一 个 dlvset- < zonename > 文件 ， 该 文件 包含 相应 的 DLV 资源 记录 。 父 区 域 或 
DLV 管理 员 必 须 复制 或 包括 这 些 DS 或 DLV 记录 (分 别 情况 处 理 ) ， 并 对 父 区 域 重新 
签名 。 考 虑 到 在 父 区 域 和 解析 需 / 递 归 服 务 器 上 实施 这 些 任务 所 要 求 的 人 工 配 置 ， 相 
比 于 预 产 生 方 法 ， 这 个 时 间 帧 是 不 太 确 定 的 。 一 旦 这 个 时 间 消 逝 ， 且 父 区域 和 信任 锚 
点 配置 被 更 新 ， 则 旧 KSK 可 从 区 域 文件 中 去 除 ， 并 仅 可 使 用 新 近 的 KSK 对 区 域 重 新 
签名 ， 如 在 时 间 记 所 示 情 况 。 

在 出 现 对 应 于 一 个 主动 KSK 或 ZSK 的 一 个 私有 密 钥 被 破解 情况 下 ， 应 该 设计 紧 
急 轮 换 过 程 。 如 果 一 名 攻击 者 得 到 私有 密 钥 ， 他 /她 会 伪造 区 域 数据 ， 并 使 用 私有 密 
钥 对 其 签名 。 解 析 器 和 递归 服务 器 将 依据 对 应 的 发 布 的 公开 密 钥 ,认证 伪造 的 数据 。 
如 我 们 看 到 的 ，ZSK 可 被 强制 性 地 改变 ， 所 以 此 时 应 该 立即 改变 ZSK。 但是， 改变 
KSK 确实 要 求 比较 广泛 的 参与 和 协作 。 我 们 建议 对 紧急 轮换 的 过 程 形成 文档 ， 它 包 
括 父 区 域 管理 员 和 DLV 注册 库 联系 方式 ， 以 及 联系 用 户 的 一 种 方式 ， 这 些 用 户 将 该 
KSK 配置 为 一 个 信任 销 点 。 这 可 通过 一 个 注册 (registered) 电子 邮件 列表 和 安全 网 站 
发 布 来 完成 。 

密 钥 更 新 的 另 一 个 方面 是 算法 轮换 。 这 涉及 使 用 一 种 新 的 密 钥 生 成 算法 ， 例 如 作 
为 一 个 算法 破解 或 升级 的 结果 而 启用 。 就 改变 密 钥 本 身 而 言 ， 上 面 描述 的 双 密 钥 签 名 
过 程 可 被 用 来 使 用 新 算法 产生 密 钥 ， 并 将 密 钥 轮 换 投 入 使 用 。 


13.5.1 自动 的 信任 锚 点 轮换 


RFC 5011" 定义 了 自动 化 信任 锚 点 轮换 的 一 种 方法 ， 目 的 是 降低 在 所 有 解析 
器 /递归 服务 器 上 更 新 信任 密 钥 的 管理 方面 的 影响 ， 这 些 解析 器 /递归 服务 器 使 用 这 个 
区 域 作 为 一 个 信任 销 点 。 这 个 自动 化 方法 要 求 针 对 信任 锚 点 区 域 ， 进 行当 前 公开 KSK 
的 初始 配置 。 但 不 像 人 工 配 置 的 是 ,在 每 次 发 生 信任 锚 点 KSK 变化 时 ， 不 需要 人 工 
的 更 新 。 可 在 BIND 9.7 及 以 上 版 本 中 使 用 managed-keys 语句 ， 在 一 台 递 归 BIND fk 


第 13 章 保障 DNS 安全 (F): DNSSEC 253 


务 器 中 配置 自动 化 的 信任 锚 点 更 新 。 初 始 信任 密 钥 将 被 用 来 核验 使 用 DNS 协议 传递 
的 未 来 密 钥 事务 。 解 析 器 必须 周期 性 地 查询 信任 锚 点 ， 查 询 其 DNSKEY RRSet， 以 便 
检查 更 新 。 如 果 一 个 新 的 密 钥 添加 正确 ， 它 将 自动 地 被 认为 是 该 区 域 的 一 个 有 效 信任 
锚 点 密 钥 ， 条 件 是 被 当前 信任 密 钥 签名 。 如 果 当 前 信任 密 钥 被 撤销 ， 且 由 区 域 的 信任 
密 钥 (可 能 是 多 个 密 钥 ) 签名 ， 则 信任 密 钥 将 自动 地 从 处 理 中 被 清除 。 因 此 在 man- 
aged-keys 语句 中 配置 的 初始 密 钥 ， 仅 被 用 作 信 任 锚 点 初始 条 件 ; 这 个 密 钥 可 在 未 来 
被 撤销 ， 且 DNS 服务 器 自动 地 跟踪 当前 信任 密 钥 的 状态 。 

图 13-8 给 出 解析 器 角度 来 看 的 信任 密 钥 的 一 个 状态 图 ,依据 的 是 通过 核验 过 的 
(由 当前 信任 密 钥 (可 能 有 多 个 密 钥 ) 签名 ) DNSKEY 查询 检索 到 的 密 钥 状态 。 当 在 
DNSKEY RRSet 内 的 服务 器 检索 一 个 新 的 SEP 密 钥 (信任 锚 点 ) 时 ， 密 钥 进 入 Add 
Pending (添加 进行 中 ) 状态 。 这 个 状态 有 助 于 缓解 如 下 情形 ， 其 中 一 名 攻击 者 已 经 
破解 信任 密 钥 ， 并 寻求 使 解析 器 信任 来 使 用 攻击 者 的 新 密 钥 。 如 果 在 add hold down 
(添加 抑制 ) 定时 器 过 程 中 的 任何 时 间 ， 解 析 器 在 DNSKEY RRSet 中 都 没有 看 到 进行 
中 的 密 钥 ， 则 将 认为 该 密 钥 是 无 效 的 。 在 这 个 间隔 过 程 中 ， 一 名 攻击 者 要 对 每 次 DN- 
SKEY 查询 都 正确 地 做 出 响应 ， 将 是 非常 具有 挑战 性 的 。 一 旦 抑制 定时 器 过 期 ， 则 信 
任 密 钥 进入 有 效 状态 ， 并 被 认为 是 区 域 的 一 个 有 效 信任 密 钥 。 在 这 个 状态 ， 如 果 密 铀 
JA DNSKEY RRSet 中 丢失 ， 则 将 被 认为 是 丢失 了 (Missing) ， 但 在 重新 出 现时 ， 会 以 
有 效 的 签名 将 其 重新 恢复 到 有 效 状 态 。 


1 


带 有 新 SEP 在 定时 器 超时 之 前 Aaa 
密 钥 的 有 效 设 有 SEP 密 钥 的 有 效 开始 去 除 保持 
DNSKEY RRSet Re 定时 器 


开始 添 
加 保持 
定时 器 
SEP 密 钥 撤 销 比特 设置 
A 且 由 这 个 密 钥 签名 的 有 
直到 定时 器 超时 之 前 38 DNSKEY RRSet 
phen ead de 带 有 SEP 密 钥 的 有 效 


有 效 DNSKEY RRSet DNSKEY RRSset 


没有 SEP 密 钥 的 
有 效 DNSKEY RRSet 


图 13-8 信任 锚 点 (SEP) 状态 图 [13] 


当 由 于 密 钥 在 其 寿命 中 的 年 龄 ( 到 期 ) 或 因为 密 钥 被 破解 ， 区 域 管理 员 期 望 撤 
销 该 密 钥 时 ， 该 密 钥 将 以 DNSKEY 标志 字段 中 设置 撤销 比特 的 方式 发 布 在 区 域 之 中 。 
除了 任何 其 他 主动 的 或 进行 中 (pending) 的 信任 密 钥 外 ， 这 个 密 钥 必须 被 用 来 签名 
DNSKEY RRSet。 在 这 种 情形 中 ， 该 密 钥 将 被 认为 被 撤销 了 。 可 从 有 效 状态 或 丢失 状 
态 ， 进 入 这 个 状态 。 服 务 器 启动 一 个 消除 抑制 定时 器 ， 当 超期 时 ， 激 发 从 服务 器 配置 
中 消除 信任 密 钥 的 操作 。 
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13.5.2 DNSSEC 和 动态 更 新 


区 域 签名 过 程 要 求 一 个 区 域 的 规范 排序 ， 之 后 才 是 签名 ， 在 这 种 情况 下 ， 您 可 能 
会 疑惑 ， 即 人 们 如 何 将 一 条 新 的 资源 记录 安全 地 插 和 人 到 该 区 域 中 呢 ? 幸运 的 是 ， 区 
签名 并 不 要 求 对 整个 区 域 进行 重新 处 理 ， 而 是 对 个 体 RRSet 签名 的 ， 这 种 做 法 使 一 个 
比较 模块 化 的 过 程 成 为 可 能 。 但 是 ， 为 考虑 更 新 ， 必 须 调整 NSEC [3] 记录 , 方法 
是 调整 规范 排序 ， 才 能 有 效 地 插入 更 新 。 

当 动态 地 更 新 一 个 安全 的 区 域 时 ， 更 新 本 吴 必 须 是 安全 的 。 服 务 需 应 该 要 求 对 更 
新 消息 进行 签名 ， 并 应 该 定义 哪些 服务 器 或 网 络 会 实施 更 新 。 当 接收 到 一 条 更 新 ， 并 
认证 通过 时 ， 它 被 保留 在 日 志文 件 内 。 为 了 对 带 有 更 新 的 区 域 完 整地 进行 签名 ， 服 务 
器 必须 临时 地 冻结 动态 更 新 ， 当 使 用 pre- BIND 9.6 时 ， 使 用 的 是 rndc freeze 命令 。 这 
就 关闭 了 动态 更 新 的 接收 。 一 旦 冻结 ， 则 必须 使 用 dnssec-signzone 功能 对 区 域 重 新 签 
名 。 之 后 ， 可 使 用 mde thaw 命令 重新 激活 动态 更 新 。 

在 BIND 9.6 及 以 上 版 本 中 已 经 消除 了 这 个 人 工 冻 结 签名 解冻 ( freeze-sign- thaw ) 
过 程 ， 在 这 些 版 本 中 为 动态 更 新 添加 了 一 个 自动 地 签名 机 制 ， 这 极 大 地 简化 了 这 个 过 
程 。 与 其 将 正常 的 日 志 更 新 集成 到 区 域 文件 一 起 ，BIND 使 用 ZSK 以 及 相应 的 “之 
前 ”和 “之 后 ”的 NSEC [3] 记录 ,对 每 条 更 新 签名 ， 从 而 规范 地 将 记录 插入 到 区 
域 之 中 。 在 签名 接近 超期 时 ，BIND 9. 6 也 周期 性 地 检查 区 域 的 签名 。 在 这 样 的 情形 
中 ， 那 么 它 将 自动 地 生成 新 的 密 钥 。 为 了 实施 这 个 自动 化 的 签名 过 程 ，BIND 必须 可 
访问 ZSK 私有 密 钥 ， 以 便 对 记录 进行 签名 或 重新 签名 。 


13.5.3 DNSSEC 部 署 考虑 


为 了 简化 DNSSEC 实现 过 程 ，BIND 为 密 钥 生成 和 对 区 域 签 名 ， 提 供 了 几 项 工具 
设施 。 但 是 ， 当 决定 部 署 DNSSEC 时 ， 仔 细 地 考虑 如 下 方面 : 

(1) 确定 您 希望 对 哪些 区 域 签 名 。 一 般 而 言 ， 要 考虑 签名 的 首要 的 、 也 许 是 唯 
一 的 区 域 是 您 的 公开 区 域 或 外 部 区 域 。 这 些 区 域 使 用 户 可 安全 地 解析 您 的 公开 名 字 空 
间 ， 并 降低 一 名 攻击 者 “冒充 ”您 的 区 域 的 概率 。 通 过 因特网 的 合作 方 连接 应 该 做 
类 似 考虑 。 否 则 ， 内 部 信息 的 内 部 解析 ， 通 常 在 多 数组 织 机 构 内 部 被 认为 是 可 信和 的。 

(2) 如 我 们 已 经 看 到 的 ， 一 个 签名 区 域 文件 的 尺寸 ， 要 远大 于 一 个 对 应 未 签名 
区 域 文件 的 尺寸 。 对 于 大 型 区 域 ， 这 可 能 影响 必 备 的 服务 器 内 存 和 区 域 载 入 时间。 

(3) 对 您 的 区 域 签 名 的 做 法 ， 保 护 的 是 您 的 名 字 空 间 的 完整 性 ， 而 不 是 您 的 
DNS 缓存 的 完整 性 。 考 虑 在 您 的 因特网 查询 DNS 服务 器 上 配置 DNSSEC 核验 。 


查询 的 解析 响应 也 会 增长 得 较 巨 大 。 这 可 能 负面 地 影响 查询 响应 时 间 和 性 能 。 

(5) 解析 过 程 性 能 也 可 进一步 受到 信任 锚 点 确认 过 程 的 负面 影响 ， 其 中 密 钥 和 
委托 签名 者 记录 要 被 核验 ， 可 能 会 到 达 信 任 销 点 区 域 或 DLV 注册 库 。 

(6) DNSSEC 引入 对 时 间 同 步 的 要 求 ， 其 中 给 定 绝 对 时 间 参 考 ， 在 RRSIG 记录 
中 指明 有 效 时 间 和 超期 时 间 。 
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(7) 通过 跳 过 NSEC 记录 的 区 域 踪迹 法 ， 是 一 个 潜在 的 信息 过 度 暴 露 ， 虽然 
NSEC3 记录 使 这 个 过 程 比 较 困 难 。 考 虑 区 域 踪迹 法 对 您 而 言 是 否 真 是 一 个 问题 ( 
般 情 况 下 ， 在 DNS 中 发 布 的 信息 是 公开 信息 ) ， 这 源 于 在 一 个 签名 区 域内 产生 NSEC3 
记录 的 计算 复杂 度 和 潜在 的 大 量 时间 。 

(8) 用 于 初始 化 和 轮换 的 密 钥 更 新 过 程 ， 必 须 设计 成 如 下 方式 ， 即 如 果 您 的 信 
任 解 析 器 没有 使 用 自动 化 的 信任 锚 点 更 新 特征 时 ， 通 过 一 种 带 外 机 制 提供 对 更 新 KSK 
的 认证 访问 。KSK 公开 密 钥 更 新 ， 必 须 被 传递 到 您 信任 的 所 有 区 域 以 及 您 的 父 区 域 
或 DLV (如 果 存 在 的 话 ， 则 分 别 采用 DS 或 DLV 记录 的 形式 ) 。 

(9) DNSSEC 实施 数据 源 发 认证 、 数 据 完整 性 验证 和 经 过 认证 的 存在 性 拒绝 。 它 
不 能 对 第 12 章 介 绍 的 其 他 弱点 类 型 进行 保护 。 不 要 忘记 ， 在 那 一 章 讨 论 的 实施 缓解 
战术 以 便 防 护 其 他 弱点 。 


SV IP 地 址 管理 (IPAM) 集成 


在 本 书 前 三 部 分 讨论 IPAM 的 组 成 部 件 之 后 ， 第 区 部 分 处 理 这 些 部 件 的 集成 管理 
任务 。 我 们 在 第 14 章 开 始 讲述 总 的 IPAM 技术 。 之 后 在 第 15 章 我 们 将 讨论 IPv6 在 一 
个 IPv4 网 络 中 的 实现 和 共存 策略 。 


第 14 音 IPAM 实践 


在 本 书 前 言 中 ,我 们 讲 到 ，IP 地 址 管理 实践 (IPAM) 包括 将 网 络 管理 学 科 
(discipline) 应 用 到 JP 地 址 空间 和 相关 联 的 网 络 服务 。 因 为 IP 地 址 以 及 相关 联 的 DH- 
CP 和 DNS 功能 ， 对 于 运行 在 一 个 网 络 上 的 IP 服务 和 应 用 而 言 起 到 如 此 的 基础 作用 ， 
所 以 这 些 功能 必须 得 到 慎重 的 管理 ， 这 非常 像 其 他 关键 性 的 网 络 基础 设施 单元 要 得 到 
管理 一 样 。 将 DNS 和 DHCP 服务 器 看 作 网 元 的 做 法 ， 有 点 超前 ， 这 是 因为 它们 对 一 
个 卫 网 络 上 的 客户 端 而 言 ， 提 供 关 键 的 也 服务 。 虽 然 不 像 传 统 网 元 那样 处 在 用 户 IP 
流量 的 带 内 或 数据 路 径 上 ， 但 它们 提供 使 这 种 带 内 数据 路 径 成 为 可 能 和 有 用 所 要 求 的 
必要 服务 。 从 一 个 电话 智能 网 类 比 看 ， 在 提供 查找 和 寻 址 信息 方面 ， DNS 和 DHCP 接 
近 于 网 络 控 制 点 。 所 以 它 遵循 这 些 服务 器 的 中 心 化 管理 的 做 法 ， 就 是 同样 明智 的 和 有 
zH © 2 

最 普遍 采用 的 网 络 管理 方法 是 用 于 网 络 管理 的 FCAPS? 模型 方法 。 出 现 了 信息 技 
术 基 础 设施 库 ITIL®， 作 为 管理 企业 IT 基础 设施 的 一 个 流行 指南 集 。 由 英国 商务 部 
(OGC) 开发 形成 ，ITIL 是 一 个 最 佳 实践 框架 ， 它 的 观点 是 IT 组织 机 构 是 企业 的 一 个 
服务 提供 者 。 我 们 将 在 FCAPS 模型 的 上 下 文 内 ， 讨 论 共 同 的 卫 地 址 管理 任务 ， 之 后 
在 本 章 末 将 这 些 任务 的 功能 映射 与 ITIL 过程 域 相 关 。 


14.1 FCAPS 概述 


FCAPS 模型 涵盖 网 络 管理 实践 内 的 如 下 关键 功能 。 
(1) = 故障 管理 。 涉 及 网 络 故 障 的 监测 和 检查 ， 采 用 诊断 、 隔 离 和 解决 故障 等 
能 力 。 就 像 网 元 (例如 路 由 器 、 服 务 器 和 交换 机 ) 被 监测 以 便 检 查 故 障 或 中 断 一 样 ， 


O ”本章 的 许多 内 容 映 射出 参考 文献 [11] 第 6 章 〈 和 本 章 有 类 似 标 题 ) 的 那些 内 容 。 
© FCAPS 是 作为 管理 数据 网 络 的 电信 管理 网 络 (TMN) 框架 的 组 成 部 分 ， 在 ITU 标准 M. 34001 中 
定义 的 。 
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DHCP 和 DNS 服务 应 该 类 似 地 被 监测 。 也 可 实现 合适 的 权 变 措施 应 对 (workaround ) 
机 制 ， 例 如 提供 高 可 用 服务 的 机 制 。 

(2) C= 配 置 管理 。 包 括 网 元 ( 含 DHCP 和 DNS 服务器) 的 准确 配置 和 备份 。 
网 元 的 准确 和 及 时 配置 ， 降 低 了 改变 管理 窗口 内 的 信息 准备 提供 (provisioning) 错误 
数 和 时 间 间 隔 。 

(3) A = 记 账 管理 。 涉 及 网 络 资源 使 用 的 跟踪 和 监督 ， 是 就 商务 配额 或 顾客 权利 
而 言 的。 涉及 访问 控制 策略 的 卫 管理 方面 、 就 商务 参数 的 地 址 利用 率 以 及 监测 服务 
水 平 协议 (SLA) 符合 度 等 都 落 在 记 账 管理 范围 内 。 

(4) P= 性 能 管理 。 处 理 网 元 和 服务 等 的 性 能 跟踪 以 及 资源 利用 率 。IP 地 址 利用 
RAI DHCP/DNS 服务 器 性 能 跟踪 ， 是 有 效 IP 地 址 管理 的 关键 要 求 。 

(5) S= 安 全 管理 。 包 括 就 网 络 及 其 用 户 的 信息 安全 保障 、 提 供 访问 控制 以 及 审 
计 日 志和 安全 漏洞 检测 。 卫 地 址 管理 的 安全 管理 包括 卫 地 址 访问 策略 、 审 计 、DNS 
All DHCP 安全 以 及 网 络 上 欺诈 或 违法 设备 检测 。 


14.2 共同 的 IP 管理 任务 


使 用 基本 的 FCAPS 功能 分 类 ， 我 们 将 讨论 共同 的 全 管理 任务 ， 以 “配置 ” 开 
始 ， 之 后 逐步 移 向 其 他 分 类 。 取 决 于 您 的 IP 管理 系统 能 力 ， 一 些 功能 可 能 要 求 使 
用 多 个 管理 系统 。 例 如 ， 如 果 您 的 全 管理 系统 由 空白 表格 程序 组 成 ， 则 您 将 需要 
另 一 个 工具 来 实施 故障 管理 功能 。 类 似 地 ， 商 用 的 全 管理 系统 ， 在 其 系统 内 本 身 
就 有 不 同 的 功能 和 任务 子 集合 ， 而 其 他 系统 将 要 求 额外 的 互补 性 (supplemental) 
系统 。 


14.3 配置 管理 


当 多 数 人 想到 IPAM 时 ， 他 们 主要 会 认为 它 是 一 个 配置 管理 机 制 。 早 期 的 IPAM 
系统 事实 上 仅 将 焦点 放 在 配置 管理 上 ， 虽 然 随 着 时 间 推 移 ， 许 多 系统 已 经 扩展 到 
FCAPS 的 其 他 方面 。 尽 管 如 此 ， 配 置 管理 仍然 是 IPAM 的 一 个 基础 功能 。 在 本 节 ， 我 
们 将 讨论 当 管 理 下 地 址 空间 和 DHCPZDNS 服务 器 配置 时 ， 所 需 的 共同 任务 。 这 些 任 
务 与 一 名 IP 地 址 规划 人 员 的 日 常 活动 有 关 ， 涉及 IP 地址 、 子 网 、 地 址 空间 、 域 以 及 
DHCP 和 DNS 配置 等 其 他 方面 信息 的 移动 、 添 加 和 更 改 。 

Æ IPAM 上 下 文 内 的 配置 管理 包括 DHCP 和 DNS 服务 器 的 配置 ， 这 两 者 分 别 用 于 
地 址 租赁 和 参数 指派 、 名 字 解 析 。 在 最 小 可 能 情况 下 ， 要 涉及 IPAM 有 关 信 息 的 配 
置 ， 即 地 址 池 和 关联 参数 以 及 DNS 配置 和 区 域 文 件 。 配 置 过 程 也 包括 高 可 用 部 署 
和 服务 器 等 级 配置 参数 的 配置 ， 用 于 基于 服务 器 的 或 基于 仪器 的 DHCP/DNS 服务 
器 等 。 
配置 管理 功能 的 结果 是 ， 在 网 络 内 的 每 台 DHCP 和 DNS 服务 器 ,将 以 其 文件 或 
参数 进行 配置 ， 这 是 它们 在 网 络 中 实施 其 相应 角色 所 必要 的 ， 如 用 于 一 组 地 址 池 、 故 
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障 切换 DHCP 配置 、DNS 区 域 、 参 数 和 选项 等 的 主 DHCP 服务 器 。 从 这 个 角度 看 ， 目 
标 是 将 每 台 DHCP 和 DNS 服务 器 的 配置 依据 其 类 型 (例如 ISC, Microsoft 等 ) 、 部 署 
中 的 角色 以 及 它 所 服务 的 网 络 部 分 而 定 。 网 络 部 分 与 指派 到 每 台 服 务 器 的 一 组 DNS 
域 、 子 网 和 地 址 池 的 关联 有 关 ， 并 应 该 与 地 址 空间 和 域 的 总 体 PAM 规划 一 致 。 

新 的 、 移 动 的 或 删除 子 网 的 路 由 器 配置 ， 以 及 要 将 DHCP 报 文中 继 到 哪些 DHCP 
服务 器 的 中 继 代理 信息 配置 ， 这 些 是 与 卫 管理 密切 联系 的 另 一 项 功能 。 在 市 场 上 几 
PRA IPAM 系统 本 身 就 可 实施 这 个 层次 的 路 由 器 集成 功能 的 。 从 历史 角度 而 言 ，IP 
或 服务 器 团队 (team) 不 同 于 路 由 器 团队 ， 所 以 并 不 鼓励 实施 团队 间 实 现 自动 化 ; 毕 
竟 ， 如 果 一 台 路 由 器 被 证 明 是 错误 配置 的 ， 则 将 汇集 到 路 由 器 团队 ， 由 它们 处 理 。 不 
过 一 些 IPAM 系统 采用 本 地 方式 或 通过 一 个 API 调用 来 支持 这 个 过 程 的 自动 化 ，API 
调用 可 将 一 个 IPAM 系统 子 集 分 配 的 输出 “挂钩 ”到 一 个 路 由 器 配置 工具 的 输入 。 类 
似 地 ， 在 IP 清单 数据 库 或 表格 (spreadsheet) 中 分 配 一 个 子 网 之 后 ， 变 力 (思春 的 ) 
方法 包括 将 一 条 电子 邮件 发 送 到 路 由 器 团队 ， 仅 此 而 已 。 


14.3.1 地 址 分 配 任务 


1. 地 址 块 分 配 

从 IPANM 食物 链 的 顶端 开始 ， 考 虑 实施 顶层 块 分 配 的 任务 ， 使 用 我 们 在 第 3 章 讨 
论 的 过 程 。 从 项 向 下 以 层次 结构 方式 进行 地 址 空间 分 配 ， 地 址 空间 分 配 的 规划 必须 考 
虑 商务 需求 ， 这 是 就 以 从 底 向 上 方式 考虑 每 个 应 用 和 每 个 站 点 的 用 户 团体 这 两 者 的 地 
址 容量 而 言 的 商务 需求 。 最 终 ， 每 个 站 点 将 从 相应 的 分 配 得 到 服务 ， 所 以 容量 规划 应 
该 将 每 个 当前 及 规划 的 未 来 站 点 处 的 地 址 需求 一 起 考虑 。 

如 果 您 没有 时 间或 资源 来 实施 一 次 完整 的 容量 分 析 ， 那 么 可 用 于 企业 组 织 机 构 的 
一 条 指导 规则 是 ， 考 虑 在 每 个 位 置 的 雇员 数 ， 并 将 这 个 数 乘 以 四 。 这 个 数量 提供 了 一 
个 大 体 估 计 ， 并 统计 了 每 个 雇员 的 设备 以 及 基础 设施 设备 〈( 如 路 由 器 和 服务 器 ) 。 另 
一 方面 ， 如 果 对 于 您 的 组 织 机 构 规模 而 言 ， 您 有 充足 的 地 址 空间 ， 那 么 您 就 只 需 均 匀 
地 进行 分 配 即 可 ， 就 和 我 们 在 第 3 章 展 示 说 明 的 那样 做 就 行 。 

一 旦 按照 站 点 对 地 址 容量 进行 了 量化 估计 ， 则 考虑 路 由 拓扑 以 及 如 何 最 佳 地 对 寻 
址 层次 结构 建 模 。 和 IPAM 全 球 公司 采用 的 拓扑 一 样 使 用 一 个 核心 -区 域 - 接 入 的 路 由 
器 拓扑 ， 本 身 就 可 得 到 寻 址 层次 结构 的 一 个 对 应 映射 。 这 样 一 种 拓扑 的 特征 是 ， 一 个 
骨干 或 核心 网 络 连接 区 域 网 络 ， 接 下 来 区 域 网 络 连 接 接 入 网 或 本 地 网 络 。 路 由 器 作为 
拓扑 接口 ， 并 提供 下 行 (下 游 ，downstream) 网 络 的 汇聚 。 现 在 将 容量 数据 与 拓扑 一 
起 考虑 ， 识 别 在 每 个 层次 结构 层 处 总 的 (roll-up) 地 址 空间 。 

让 我 们 以 例子 来 形象 地 说 明 这 个 集成 过 程 。IPAM 全 球 公司 的 拓扑 特征 是 ， 一 个 
核心 网 络 服 务 全 球 大 陆 层次 。 区 域 层次 将 北美 和 欧洲 大 陆 进行 细 分 。17000 名 雇员 映 
射 到 大 约 75000 个 IP 地 址 ， 此 时 我 们 的 10. 0.0.0/8 网 络 有 超过 1600 万 个 卫 地址， 
提供 了 足够 的 容量 ， 更 别提 我 们 的 IPv6 空间 了 。 因 此 ，IPAM 全 球 公 司 的 IP 规划 人 
员 决 定 尽 可 能 地 采用 一 种 均匀 分 配 策略 。 最 大 的 配送 中 心 在 诺 里 斯 敦 ， 大 约 有 450 名 
雇员 ， 最 大 的 昆 西 分 支 办 事 处 计划 扩展 到 200 名 雇员 。 因 此 ， 每 个 配送 中 心 将 按照 每 
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种 应 用 ?接收 一 个 /23 分 配 (510 个 可 用 IP 地 址 )， 每 个 分 支 办 事 处 将 按照 每 种 应 用 
接收 一 个 /24 (254 个 可 用 地 址 )。 这 为 每 个 站 点 的 增长 提供 了 充足 的 地 址 空间 。 

具有 最 多 办 事 处 的 北美 东部 地 区 ,包含 8 个 配送 中 心 和 9 个 办 事 处 。 依 据 每 种 应 
用 的 相应 的 地 址 空间 量 (rollup) (8 个 /23 +9 个 /24) 约 为 1/192。 为 了 针对 规模 增 
长 而 提供 充足 的 地 址 容量 ，IPAM 全 球 公司 的 了 P 规划 人 员 为 每 个 区 域 中 的 每 种 应 用 分 
配 了 一 个 /18 网 络 地 址 。 在 定义 了 这 些 确定 网 络 地 址 尺寸 的 指导 原则 之 后 ， 可 实施 第 
3 章 中 针对 IPAM 全 球 公司 详细 列 出 的 执行 过 程 。 

另外 可 采用 一 种 更 集约 化 的 策略 ， 仅 为 每 个 站 点 分 配 它 所 需要 的 容量 。 这 种 依据 
需要 的 方法 ， 要 求 比 较 准 确 的 决策 以 及 随时 间 跟 踪 每 个 站 点 处 的 IP 地 址 容量 需求 ， 
从 而 可 保障 充足 的 容量 部 署 。 这 种 方法 是 更 加 集约 化 的 方法 ， 但 却 对 地 址 空间 做 出 了 
更 好 的 使 用 ， 这 是 较 大 型 组 织 机 构 或 服务 提供 商 所 要 求 的 。 对 于 地 址 块 分 配 ， 使 用 相 
同 的 过 程 ， 但 数学 计算 和 跟踪 方面 的 需求 变 得 有 点 严格 ， 特 别 对 于 不 同 地 址 尺寸 分 配 
的 复合 情况 更 是 如 此 。 当 为 了 保留 地 址 空间 而 对 分 配 进行 “适合 尺寸 ”定制 (right- 
sized) 时 ,对 先 验 地 监测 地 址 利用 率 的 需求 就 增加 了 ， 其 中 分 配 中 额外 的 “空闲 
(fudge) 因子 ”被 控制 在 一 个 最 小 水 平 。 

依据 所 选择 的 DHCP 和 DNS 服务 器 部 署 策略 以 及 扩展 的 需要 ， 您 应 该 就 所 需 每 
个 类 型 的 一 个 给 定 尺寸 的 服务 器 数 量 和 目标 位 置 ， 规 划 出 服务 器 规模 (sizing) 。 依 据 
这 个 规划 ， 可 实施 服务 器 采购 、 发 货 /接收 ， 之 后 是 基础 层次 的 服务 器 配置 。 因 为 在 
过 程 中 的 这 个 点 ， 我 们 还 没有 添加 任何 次 级 分 配 ， 所 以 这 个 基础 DHCP/DNS 配置 将 
包括 基本 的 策略 定义 ， 以 及 针对 附加 地 址 空间 对 应 于 域 规划 的 区 域 。 

对 于 基础 和 后 续 的 地 址 块 分 配 ， 更 新 地 址 规划 是 必要 的 第 一 步 又 。 但 仍 有 许多 工 
作 要 做 。 为 了 实施 该 规划 ， 所 分 配 的 地 址 空间 应 该 配置 在 核心 路 由 器 中 ， 以 便 支 持 
路 由 表 的 动态 更 新 。 路 由 器 中 中 继 代理 信息 (目的 是 中 继 到 DHCP 服务 器 (可 能 
是 多 台 ) ) 的 更 新 ， 是 另 一 项 必 备 的 任务 ， 但 在 子 网 分 配 任 务 过 程 中 这 确 是 得 到 普 
遍 实施 的 一 项 任务 。 附 加 的 后 勤 任务 也 许 是 必要 的 ,目的 是 在 网 络 接 口 层次 和 DNS 
服务 层次 ， 将 新 分 配 的 地 址 空间 添加 到 服务 器 访问 控制 列表 (ACL) ， 其 中 涉及 
“allow”( 人 允许 ) 选项 (例如 allow-query, allow-recursion 等 ) 和 视图 定义 (如果 合 
适 的 话 ) 。 

总 之 ， 地 址 块 分 配 的 任务 包括 如 下 子 任务 。 

(1) 识别 要 求 PP 空间 的 站 点 以 及 每 个 站 点 所 需 的 用 户 或 PP 设备 数量 。 

(2) 确定 路 由 拓扑 ， 这 是 就 地 址 汇聚 需求 而 言 的 。 

(3) 考虑 到 增长 规划 ， 识 别 出 拓 扑 每 个 层次 的 最 小 分 配 ， 并 采用 分 配 策略 ( 例 
如 一 种 均匀 的 或 按 需 的 策略 ) 。 

(4) 识别 了 地 址 清单 内 的 空闲 地 址 空间 ， 并 分 配 所 选 尺寸 的 一 个 地 址 块 。 


O ”如果 我 们 向 这 些 站 点 指派 一 个 不 可 分 的 块 ， 则 我 们 将 极 可 能 需要 总 数 为 雇员 数 四 倍 的 IP 地 址 数 
量 ， 但 相反 我 们 会 分 配 多 个 类 似 尺 十 的 地 址 块 。 


© A23 = 一 个 /20 ， 八 个 [24 = 一 个 /21。 一 个 /20 + 一 个 /21 + 一 个 /24 超过 一 个 /19 的 3/4。 
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(5) 依据 需要 ， 设 计 、 采 购 、 安 装 和 配置 DHCP 和 DNS 服务 器 


(6) 采用 所 分 配 网 络 和 中 继 代理 信息 


， 更 新 路 由 器 配置 。 


(7) 更 新 DHCP 和 DNS ACL 配置 (如 果 合 适 的 话 ) 。 
(8) 管理 整体 的 分 配 过 程 ， 来 跟踪 位 置 和 在 线 的 服务 器 。 下 面 讲解 每 个 位 置 的 


子 网 分 配 。 
2. 子 网 分 配 


在 部 署 基线 地 址 分 配 之 后 ， 针 对 子 网 分 配 的 基础 就 具备 了 ， 子 网 分 配 支 持 用 于 路 


由 器 和 主机 的 个 体 IP 地 址 。 商 务 动机 将 会 驱动 子 网 分 配 : 由 于 商务 扩展 需要 IP 地 址 
的 新 站 点 ， 新 服务 提供 的 计划 〈 例 如 耳 电 话 (了 了 上 的 语音 ) ) 以 及 甚至 合并 或 收购 ， 


每 种 均 可 严重 地 影响 卫 地 址 规划 。 就 将 尺寸 扩大 到 期 望 的 容量 要 求 、 将 容量 总 和 


(rollup) 映射 到 支持 的 路 由 拓扑 以 及 考虑 空 
类 似 的 过 程 用 于 后 续 的 分 配 。 
子 网 分 配 的 这 项 基本 任务 涉及 确定 一 


s 闲 地 址 容量 和 分 配 策略 等 方面 ， 可 将 一 种 


个 可 用 的 子 网 (该 子 网 将 给 定位 置 和 应 用 


的 地 址 分 配 规 划 求 和 考虑 在 内 ) 和 IP 地 址 规划 “数据 库 ” 中 的 子 网 指派 。 例 如 ， 如 
果 IPAM 全 球 公司 确定 在 波兰 奥 勒 站 建立 一 个 新 的 配送 中 心 ， 则 IP 规划 人 员 将 访问 


我 们 的 IP 清单 表格 ， 来 识别 可 用 的 地 址 空 


间 。 在 第 3 章 给 出 的 北美 西部 数据 空间 


(10. 32. 128. 0/18) 的 地 址 分 配 分 解 ， 如 下 所 示 。 


北美 西部 数据 10. 


32. 


128. 
.0/23 00001010 00100000 10000000 00000000 
. 0/23 00001010 00100000 10000010 00000000 
. 0/23 00001010 00100000 10000100 00000000 
. 0/23 00001010 00100000 10000110 00000000 
. 0/24 00001010 00100000 10001000 00000000 
. 0/24 00001010 00100000 10001001 00000000 
. 0/24 00001010 00100000 10001010 00000000 
. 0/24 00001010 00100000 10001011 00000000 


旧金山 站 点 10. 32. 128 
丹佛 站 点 10. 32. 130 
温哥华 站 点 10. 32. 132 
菲尼克斯 站 点 10. 32. 134 
卡尔 加 里 站 点 10. 32. 136 
阿尔 伯 克 基 站 点 10. 32. 137 
盐湖 城 站 点 10. 32. 138 
博 尔 德 站 点 10. 32. 139 
埃 德 蒙 顿 站 点 10. 32. 140 


赛 克拉 门 托 站 点 10. 
阿 纳 海 姆 站 点 10. 


空闲 空间 10. 32. 143 
空闲 空间 10. 32. 144 
空闲 空间 10. 32. 160. 


如 我 们 在 第 3 章 讨 论 的 ， 通 过 使 


波兰 配送 中 心 (要 求 一 个 /23 的 分 配 ) 而 言 ， 这 有 点 太 小 了 。 我 们 继续 查看 下 一 


0/18 00001010 00100000 10000000 00000000 


. 0/24 00001010 00100000 10001100 00000000 
. 0/24 00001010 00100000 10001101 00000000 
. 0/24 00001010 00100000 10001110 00000000 
. 0/24 00001010 00100000 10001111 00000000 
. 0/20 00001010 00100000 10010000 00000000 


0/19 00001010 00100000 10100000 00000000 


用 一 种 最 佳 拟 合 方法 ， 我 们 应 该 考虑 使 用 最 小 的 
空闲 地 址 块 进行 分 配 。 从 这 个 表 中 ， 我 们 看 到 我 们 有 一 个 空闲 的 /24 ， 但 对 于 我 们 的 


个 最 


小 的 地 址 块 10. 32. 144. 0/20 ， 并 从 这 个 块 中 分 配 我 们 的 /23 地 址 分 配 。 因 此 ， 我 们 将 
10. 32. 144. 0/23 分 配给 波兰 配送 中 心 ， 原始 /20 地 址 块 的 剩余 部 分 由 10. 32. 152. 0/ 
21 、10. 32. 148. 0/22 和 10. 32. 146. 0/23 组 成 ， 得 到 如 下 所 示 的 内 容 。 
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北美 西部 数据 10. 32. 128. 0/18 00001010 00100000 10000000 00000000 
旧金山 站 点 10. 32. 128. 0/23 00001010 00100000 10000000 00000000 
丹佛 站 点 10. 32. 130. 0/23 00001010 00100000 10000010 00000000 
温哥华 站 点 10. 32. 132. 0/23 00001010 00100000 10000100 00000000 
菲尼克斯 站 点 10. 32. 134. 0/23 00001010 00100000 10000110 00000000 
卡尔 加 里 站 点 10. 32. 136. 0/24 00001010 00100000 10001000 00000000 
阿尔 伯 克 基 站 点 10. 32. 137. 0/24 00001010 00100000 10001001 00000000 
盐湖 城 站 点 10. 32. 138. 0/24 00001010 00100000 10001010 00000000 
博 尔 德 站 点 10. 32. 139. 0/24 00001010 00100000 10001011 00000000 
埃 德 蒙 顿 站 点 10. 32. 140. 0/24 00001010 00100000 10001100 00000000 
赛 克拉 门 托 站 点 10. 32. 141. 0/24 00001010 00100000 10001101 00000000 
阿 纳 海 姆 站 点 10. 32. 142. 0/24 00001010 00100000 10001110 00000000 
波兰 站 点 10. 32. 144. 0/23 00001010 00100000 10010000 00000000 
空闲 空间 10. 32. 143. 0/24 00001010 00100000 10001111 00000000 
空闲 空间 10. 32. 146. 0/23 00001010 00100000 10010010 00000000 
空闲 空间 10. 32. 148. 0/22 00001010 00100000 10010100 00000000 
空闲 空间 10. 32. 152. 0/21 00001010 00100000 10011000 00000000 
空闲 空间 10. 32. 160. 0/19 00001010 00100000 10100000 00000000 


注意 我 们 的 空闲 地 址 块 10. 32. 143. 0/24 现在 被 指派 过 的 地 址 块 围 住 或 包围 。 对 
一 个 /24 或 较 小 地 址 块 的 未 来 需求 可 使 用 这 个 空间 ,但 其 他 情况 下 它 是 不 能 使 用 的 。 
应 用 一 种 最 佳 拟 合 方 法 的 做 法 ， 寻 找 这 些 “ 孤 立 的 ”地 址 块 ， 但 如 我 们 看 到 的 情况 ， 


它们 仍然 可 能 会 被 放弃 使 用 ( 即 太 小 而 不 能 使 用 ) 。 
除了 识别 并 记录 所 分 配 的 子 网 外 ， 子 网 分 配 过 程 要 求 在 合适 的 路 由 器 接 
提供 子 网 地 址 。 在 子 网 上 的 一 些 单个 IP 地 址 ， 需 要 被 指派 到 基础 设施 设备 ， 


口上 配置 


如 路 由 


器 和 服务 器 。 也 要 求 定义 和 更 新 DHCP 服务 器 配置 ， 这 是 考虑 到 地 址 池 (可 能 有 多 
个 ) 和 相应 的 DHCP 选项 和 /或 客户 端 类 参数 ， 这 些 信 息 是 在 所 分 配子 网 上 要 求 DH- 


CP (配置 ) 的 设备 所 需要 的 。 
现在 和 未 来 在 子 网 上 要 指派 地 址 的 设备 ， 将 可 能 
这 个 信息 以 最 低 限度 可 施用 到 域名 字 到 IP 地 址 查找 的 一 个 转发 域 以 及 IP Heh 


求 DNS 中 的 名 字 解 析 信 息 。 


上 到 名 字 


查找 的 一 个 反 向 域 。 这 要 求 采用 域 更 新 (例如 in-addr. arpa 和 ip6. arpa 域 (可 能 有 多 


个 )) 和 名 字 服 务 器 及 前 
置 。 当 然 ， 在 相应 DNS 服务 器 上 这 些 域 必须 存在 或 必须 提供 和 配置 。 


态 指派 地 址 的 资源 记录 更 新 ,来 定义 和 更 新 DNS 服务 器 配 


取决 于 您 的 域 拓 扑 ， 将 一 个 新 的 子 网 添加 到 一 个 位 置 的 做 法 ， 可 能 利用 一 个 现 有 
的 域 ,但 却 不 必 采 取 这 种 方式 。 一 个 新 域 可 能 需要 作为 合适 DNS 服务 器 上 的 一 个 子 


域 或 一 个 新 的 


区 域 加 以 定义 和 配置 。 采 用 相同 方式 ， 也 需要 添加 对 应 于 子 网 地 址 的 反 


向 域 ， 除 非 一 个 较 高 层 in-addr. arpa 或 ip6. arpa 将 驻 留 (host) 相应 的 PTR 资源 记录 


时 才 不 需要 这 么 做 。 


子 网 分 配 过 程 形象 地 说 明了 地 址 分 配 、 指 派 以 及 DHCP 和 DNS 服务 器 配置 任务 
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间 严 格 的 相互 关系 。 取 决 于 您 的 商务 过 程 ， 可 在 地 址 指派 和 DHCP/DNS 配置 之 前 ， 
对 子 网 进行 分 配 或 预 留 。 不 过 ， 典 型 情况 下 ， 要 求实 施 如 下 这 个 完整 的 步骤 集 ， 将 一 
个 子 网 投入 运行 (生产 ) 。 

(1) 识别 需要 子 网 的 拓扑 范围 内 的 空闲 地 址 空间 。 

(2) 从 合适 的 地 址 空间 中 分 配 所 需 尺 寸 的 一 个 子 网 ， 并 在 IP 地 址 规划 中 记录 这 
个 分 配 。 

(3) 更 新 与 所 分 配 网 络 有 关 的 路 由 器 配置 。 

(4) 将 针对 路 由 器 、 服 务 器 或 其 他 子 网 基础 设施 设备 而 分 配 的 地 址 ， 人 工地 指 
派 和 配备 到 位 。 

(5) 如 果 有 必要 在 子 网 上 服务 动态 主机 ， 则 要 设计 和 配置 DHCP 地 址 池 。 这 可 
能 要 求 基于 规划 使 用 地 址 池 (可 能 是 多 个 ) 的 设备 要 求 ， 将 选项 、 命 令 (directives) 
和 客户 端 类 进行 关联 。 

(6) 定义 为 子 网 上 服务 主机 所 需 的 新 的 DNS 域 ， 为 新 的 或 现 有 域内 的 基础 设施 
或 设备 而 定义 资源 记录 ， 配 置 合适 的 DNS 服务 器 。 

(7) 通过 确认 子 网 的 提供 和 可 达 性 以 及 验证 相应 的 DHCP 和 DNS 配置 ， 完 成 分 
配 过 程 。 

3. IP 地 址 指派 

4% IP 地址 指派 、 去 指派 和 重新 指派 到 个 体 主 机 ， 通 常 是 多 数组 织 机 构 中 最 频繁 
的 了 P 管 理 活动 。 典 型 情况 下 ， 这 与 设备 ( 包 插 路由器、 服务器 、 打 印 机 等 ) 的 部 署 、 
重新 部 署 或 退役 相关 。 就 地 址 指派 而 言 ， 必 须 查 阅 IP 地 址 清单 数据 库 ， 来 识别 确定 
一 个 可 用 的 JP 地址。 如 果 可 能 的 话 ， 仅 为 了 验证 清单 的 准确 性 ，ping 要 被 指派 的 IP 
地 址 ， 这 种 做 法 将 是 有 用 的 ， 但 我 们 将 讨论 总 的 清单 确保 过 程 ， 以 之 作为 一 项 独立 的 
任务 。 之 后 ， 在 清单 数据 库 中 ， 要 被 指派 的 该 IP 地 址 应 该 表示 为 指派 到 给 定 的 设备 。 

实际 的 物理 IP 地 址 指派 可 采用 如 下 方式 之 一 来 完成 ， 即 人 工地 (静态 地 ) 配置 
设备 、 自 动 配置 或 使 用 DHCP (在 这 种 情形 中 ,我 们 将 假定 使 用 人 工 的 DHCP， 来 将 
所 指 TP 地址 指派 到 相应 主机 ) 。 在 静态 指派 情形 中 ， 被 指派 的 地 址 必须 直接 配置 在 设 
备 上 ， 所 以 除非 IP 地 址 指派 人 员 也 负责 物理 指派 工作 ， 和 否则 这 个 过 程 将 涉及 向 设备 
所 有 者 发 送 的 一 封 电子 邮件 或 打 个 电话 ， 其 中 携带 要 输入 的 指派 PP 地 址 信息 。 对 于 
自动 配置 ， 这 个 自 底 向 上 的 指派 过 程 是 一 个 检测 问题 ， 而 不 是 自 顶 向 下 的 指派 过 程 。 
当 使 用 人 工 DHCP 时 ,为 了 将 设备 的 硬件 地 址 映射 到 所 指派 的 IP 地 址 ， 合 适 DHCP 
服务 器 (可 能 是 多 个 ) 配置 文件 中 的 一 个 表 项 将 是 必要 的 。 

多 数 带 有 IP 地 址 的 设备 将 要 求 相应 的 DNS 资源 记录 ， 来 支持 依据 名 字 的 可 达 
性 。 使 用 地 址 指派 的 DHCP 方法 ，DHCP 服务 器 可 配置 成 ， 在 指派 IP 地 址 时 ， 更 新 一 
AE DNS 服务 器 。 这 种 更 新 将 影响 用 于 域名 到 IP 地 址 (A/AAAA) 查找 的 转发 域 以 


加 ”在 一 些 网 络 中 ， 要 求 对 DHCP 地 址 的 资源 地 址 进行 预先 配置 (pre-seeding) ， 目 的 是 在 没有 实施 动 
态 更 新 的 情况 下 ， 人 允许 这 些 地 址 的 用 户 出 现 于 DNS 之 中 (例如 为 了 便利 实施 VPN 连接 ， 它 要 求 
存在 一 条 PTR 记录 ) 。 
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及 用 于 反 向 (PTR) 查找 的 反 向 域 。 如 果 人 工地 指派 地 址 ， 将 要 求 一 项 类 似 的 DNS 
更 新 任务 。 以 这 种 新 的 主机 信息 更 新 DNS， 可 能 需要 在 服务 器 上 编辑 或 更 新 相应 的 区 
域 文件 或 发 送 动态 的 更 新 。 

至 少 在 一 个 企业 网 络 上 ， 您 不 希望 一 台 自 动 配置 的 设备 自己 来 更 新 DNS， 虽然 这 
对 于 一 个 团体 或 ad hoc 网 络 而 言 可 能 是 合适 的 。 识 别 存在 一 台新 近 自 动 配置 的 设备 ， 
从 而 人 工地 更 新 DNS， 这 种 做 法 本 身 就 是 一 项 挑战 。 如 果 这 样 的 设备 要 求 DNS 中 的 
解析 信息 ， 则 为 了 识别 IPv6 地 址 ， 使 用 一 台 路 由 器 的 日 志 或 子 网 侦 听 ( snooping) T 
具 就 是 必要 的 。 

总 之 ，IP 地 址 指派 任务 包括 如 下 子 任务 。 

(1) 确定 设备 如 何 得 到 它 的 IP 地 址 : 通过 人 工 配置 、 自 动 配置 或 通过 DHCP. 

1) 如 果 是 动态 DHCP 或 自动 化 的 DHCP， 则 确定 子 网 上 的 当前 地 址 池 (如 果 有 
地 址 池 的 话 ) 是 否 有 容量 来 文 持 这 台 设 备 ; 如 果 有 的 话 ， 这 项 任务 完成 ; 如 果 没 有 ， 
则 在 DHCP 服务 器 上 配置 相应 DHCP 类 型 的 一 个 地 址 池 和 必要 的 选项 参数 。 

2) 如 果 是 人 工 DHCP， 则 在 设备 所 处 的 子 网 内 ， 识 别 一 个 空闲 的 卫 地 址 ， 并 将 
该 地 址 指派 给 该 设备 ， 方 法 是 配置 DHCP 服务 器 来 为 设备 的 MAC 地 址 保留 或 指派 一 
个 人 工 的 DHCP 地 址 。 

3) 如 果 是 在 设备 上 人 工地 进行 配置 ， 则 在 设备 所 处 子 网 内 识别 一 个 空闲 的 卫 地 
址 ， 并 将 该 地 址 指派 给 该 设备 。 在 设备 上 人 工地 配置 好 所 指派 的 静态 IP 地 址 。 

4) 在 所 有 情形 中 ， 以 指派 的 地 址 更 新 IP 地 址 规划 ， 不 管 是 一 个 表格 还 是 其 他 
IPAM 工具 均 可 。 

(2) 确定 DNS 资源 记录 是 否 需 要 人 工地 创建 和 更 新 。 一 般 来 说 ， 对 于 静态 指派 
的 地 址 ， 情 况 就 是 这 样 的 。 对 于 DHCP 指派 的 设备 而 言 ，DHCP 服务 器 可 被 配置 成 实 
施 动态 更 新 ， 虽然 在 一 些 情形 中 ,动态 更 新 是 不 可 行 的 或 策略 所 不 允许 的 ， 这 时 就 要 
求 相应 资源 记录 的 人 工 更 新 。 

(3) 验证 地 址 指派 过 程 的 完成 ， 方 法 是 成 功 地 ping 该 地 址 ， 并 验证 它 在 DNS 中 
的 资源 记录 。 对 于 通过 一 个 地 址 池 而 被 指派 一 个 地 址 的 设备 而 言 ， 可 能 不 需要 进行 验 
证 ; 但 是 ， 如 果 需 要 验证 的 话 ， 则 提前 就 可 能 不 知道 地 址 。 在 DHCP 租 期 文件 中 找到 
设备 的 MAC 地 址 ， 在 这 种 情形 中 ， 接 下 来 要 做 的 是 ，ping 相应 的 地 址 ， 以 此 来 确认 
它 的 指派 。 


14.3.2 地址 删除 任务 


如 我 们 所 展示 说 明 的 ， 地 址 分 配 是 一 个 自 顶 向 下 的 过 程 ， 其 中 首先 是 层次 结构 式 
地 址 块 的 分 配 ， 从 中 可 分 配子 网 ， 从 子 网 可 指派 TP 地址。 地址 空间 的 删除 ， 则 要 求 
相反 的 操作 ， 有 必要 是 自 底 向 上 的 。 在 下 面 的 地 址 块 、 子 网 和 了 一、 地 址 被 删除 之 前 ， 
就 删除 一 个 地 址 块 ， 将 使 这 些 下 面 的 元 素 处 于 困境 ， 所 以 除非 您 希望 出 现 群 众 暴 乱 
(mass chaos) ， 否 则 就 要 确保 采用 一 个 比较 可 控 的 过 程 。 

(1) 删除 他 地址 。 删 除 一 个 IP 地 址 是 相对 直接 的 : 删除 或 释放 IP 清单 中 的 IP 
地 址 ， 如 果 合 适 的 话 就 从 DHCP 中 请 求 M-DHCP 项 ， 释 放 地 址 租赁 ， 并 清除 关联 的 
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DNS 资源 记录 。 但 是 ， 必 须 谨 慎 从 事 ， 确 保 在 将 该 地 址 指派 给 男 一 台 设 备 之 前 ， 地 址 
已 经 由 原 设备 放弃 使 用 ， 且 DHCP 和 DNS 更 新 已 经 完成 。 例 如 ， 简 单 地 在 一 台 DHCP 
服务 器 上 删除 一 个 租赁 ， 并 不 会 强制 持 有 那个 租赁 的 客户 端 放 弃 使 用 那个 租赁 。 设 计 
T DHCP Force- Renew (强制 刷新 ) 消息 ， 强 迫 一 台 DHCP 客户 端 进入 刷新 状态 ， 这 
使 一 台 服 务 器 可 能 对 客户 端 刷 新 租赁 的 尝试 回答 NAK， 由 此 释放 该 地 址 。 但 是 ， 强 
制 刷新 没有 得 到 广泛 实现 。 

将 地 址 指示 为 处 在 “删除 进行 中 ”的 一 个 状态 或 某 种 类 似 法 ， 将 提醒 其 他 管理 
员 ， 直 到 接收 到 地 址 可 用 性 的 确认 之 前 ， 不 要 将 那个 地 址 指派 给 另 一 台 设备 。 这 个 确 
认 过 程 包括 : ping 那个 地 址 〈 也 许 不 断 地 持续 数 天 时 间 ) ， 并 确认 在 DNS 和 DHCP 服 
务 器 中 删除 了 其 关联 的 数据 。 

(2) 删除 子 网 。 当 关闭 一 个 站 点 或 合并 地 址 空间 时 ， 可 能 要 求 删除 一 个 子 网 。 
具有 要 被 删除 子 网 上 IP 地 址 的 设备 ， 应 该 被 移 除 或 退役 ， 从 而 使 该 子 网 可 用 于 地 址 
指派 (除非 ， 可 能 是 服务 子 网 的 路 由 器 情况 ) 。 在 验证 所 有 IP 地 址 都 是 空闲 之 后 ， 就 
将 该 子 网 回收 到 空闲 地 址 空间 ， 用 于 未 来 分 配 。 

在 释放 一 个 子 网 时 ， 可 能 的 情况 是 ， 将 被 释放 的 空间 与 一 个 连续 的 空闲 地 址 块 合 
并 ， 得 到 一 个 较 大 的 空闲 地 址 块 。 沿 用 我 们 在 上 面子 网 分 配 小 节 中 的 PAM 全 球 公 司 
北美 西部 数据 地 址 块 的 例子 ， 如 果 IPAM 全 球 公司 决定 关闭 阿 纳 海 姆 分 支 办 事 处 ， 则 
现在 就 认为 它 的 地 址 空间 10. 32. 142. 0/24 是 空闲 的 ， 它 与 10. 32. 143. 0/24 地 址 块 是 
连续 的 。 我 们 可 将 这 两 个 地 址 块 合 并 成 单一 空闲 地 址 块 10. 32. 142. 0/23 。 这 样 做 的 
话 ， 比 较 清楚 的 是 ， 这 个 /23 地 址 就 可 指派 给 一 个 未 来 的 配送 中 心 (比如 ) 。 

(3) 删除 地 址 块 。 地 址 块 删除 可 能 源 于 退出 一 个 主要 商务 市 场 ， 或 站 点 合并 ， 
等 等 ,还 有 其 他 原因 。 一般 而 言 ， 在 宏观 层次 的 地 址 块 可 被 释放 ， 用 于 未 来 指派 之 
前 ， 所 有 下 游 IP 地 址 、 子 网 、 地 址 池 、 资 源 记录 和 域 都 应 该 首先 退役 。 因 此 ， 在 目 
标 地 址 块 内 个 体 删除 IP 地 址 任务 和 子 网 删除 任务 完成 之 后 ， 该 地 址 块 本 身 就 可 释放 
了 。 对 于 中 等 到 大 型 分 配 的 任务 而 言 ， 可 能 要 求 项 目 规划 资源 ， 以 便 验证 层次 结构 上 
的 整体 删除 。 和 在 删除 子 网 任务 中 一 样 ， 被 释放 的 地 址 块 空间 可 与 连续 的 空闲 空间 合 
并 。 就 像 地 址 块 分 配 一 样 ， 就 地 址 池 、 域 、ACL 和 资源 记录 方面 ， 应 该 考虑 与 DHCP 
All DNS ACL 配置 有 关 的 附加 后 勤 任务 。 


14.3.3 地址 重新 编号 或 移动 任务 


对 地 址 块 、 子 网 或 个 体 地 址 的 移动 或 重新 编号 ， 这 种 做 法 将 分 配 过 程 与 删除 过 程 
组 合 起 来 。 如 上 所 述 ， 分 配 过 程 应 该 是 从 一 种 自 顶 向 下 的 角度 实施 的 ， 是 从 低层 子 网 
和 IP 地 址 将 被 移 到 的 空间 进行 分 配 的 。 随 着 地 址 被 移 到 目标 的 分 配 空间 ， 删 除 过 程 
从 自 项 向 下 释放 地 址 空间 的 。 本 质 上 而 言 ， 必 须 分 配 要 被 移出 的 地 址 范围 的 大 小 ， 以 
便 容纳 被 移出 的 地 址 ， 临 时 地 将 与 这 个 设备 集合 相关 联 的 地 址 空间 翻 倍 〈 可 能 是 一 
种 做 法 )。 随 着 地 址 被 移出 ， 前 一 个 地 址 空间 就 可 被 释放 ， 将 地 址 分 配 返 回 到 以 前 的 
层次 。 

(1) IP 地 址 移动 。 移 动 一 个 IP 地 址 的 做 法 ， 可 被 看 做 在 目的 地 子 网 上 指派 一 个 
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地 址 ， 并 在 当前 子 网 上 删除 该 IP 地 址 的 组 合 做 法 。 取 决 于 地 址 指派 的 方法 和 移动 类 
型 ， 可 使 用 不 同 的 战术 做 法 。 移 动 的 类 型 与 一 台 设 备 物 理 移动 到 一 个 不 同 的 子 网 
(物理 移动 ) 及 在 相同 子 网 或 一 个 不 同 子 网 上 重新 指派 IP 地 址 (逻辑 移动 ) AK. 
典型 情况 下 ， 一 台 非 移动 IP 设备 的 物理 移动 将 涉及 每 台 P 设备 的 一 次 “重启 ”， 这 
要 对 地 址 指派 过 程 施加 更 多 的 控制 。 

(2) 物理 移动 。 物 理 移动 ， 意 味 着 断 电 、 移 动 ， 之 后 在 目的 地 位 置 上 对 设备 上 
电 。 对 于 动态 的 DHCP 和 自动 化 的 DHCP 指派 设备 而 言 ， 如 果 移 动 的 是 整个 地 址 池 ， 
则 应 该 在 一 台 [相同 或 不 同 的 ] DHCP 服务 器 上 配置 目的 地 地 址 池 。 确 保 服务 目的 地 
子 网 的 路 由 器 (可 能 是 多 台 ) 被 配置 成 ， 可 将 DHCP 报 文中 继 到 配 有 新 地 址 池 的 DH- 
CP 服务 器 。 当 这 些 设 备 上 电 时 ， 它 们 将 会 尝试 刷新 它们 在 旧 子 网 上 拥有 的 最 近 租 赁 。 
确保 任何 自动 化 的 DHCP 设备 ， 在 上 电 时 发 出 DHCPREQUEST, ， 而 不 仅仅 继续 使 用 它 
们 的 旧 IP FASE; 如 果 这 些 设备 假 定 上 日 【无穷 期 限 】 租赁 是 有 效 的 ， 则 将 要 求人 工 干 
预 ， 重 置 该 设备 的 地 址 。 否 则 ，DHCP 服务 器 将 NAK (BEME) 每 个 客户 端的 DH- 
CPREQUEST 尝试 。 客 户 端 们 将 返回 到 Init- Reboot (初始 化 重启 ) 状态 ， 并 发 出 一 条 
DHCPDISCOVER 报 文 ， 来 得 到 一 个 新 的 地 址 租赁 。DHCP 服务 器 以 新 的 目的 地 址 池内 
一 个 新 的 地 址 租赁 作为 应 答 。 对 于 DHCP 客户 端 ， 可 使 用 一 个 类 似 的 过 程 。 一 旦 所 
有 设备 都 以 物理 方式 移动 ， 则 服务 旧 子 网 的 地 址 池 可 做 退役 处 理 。 

一 台 M-DHCP 设备 的 物理 移动 ,包括 在 服务 新 子 网 的 DHCP 服务 器 中 创建 M- 
DHCP 表 项 ， 并 在 以 前 的 DHCP 服务 器 上 删除 相应 表 项 。 如 果 使 用 的 是 同一 台 DHCP 
服务 器 ， 则 简单 地 编辑 与 设备 的 MAC 地 址 关联 的 IP 地 址 。 当 设备 在 新 子 网 上 上 电 
时 ， 它 应 该 遵循 动态 DHCP 和 自动 化 DHCP 类 似 的 一 个 过 程 ， 进 行 一 次 DHCPRE- 
QUEST 尝试 ， 如 果 DHCP 服务 器 应 答 为 NAK， 则 接 下 来 是 (返回 到 ) 发 出 一 条 DH- 
CPDISCOVER ， 使 用 标准 的 DHCP 过 程 进 行 地 址 重新 指派 。 

移动 自动 配置 其 IPv6 地 址 的 一 台 设 备 的 做 法 ， 将 会 使 设备 通过 路 由 器 发 现 ， 检 
测 到 它 的 新 子 网 ， 还 有 对 应 的 子 网 策略 (包括 DHCPv6 服务 的 可 用 性 ) 。 如 果 进 行 地 
址 的 自动 配置 ， 那 么 该 设备 就 进行 自动 配置 ， 之 后 通过 重复 地 址 检测 来 验证 地 址 的 唯 
一 性 。 如 果 使 用 DHCPv6 ， 则 接 下 来 是 正常 的 DHCPv6 过 程 ， 来 得 到 一 个 IPv6 地 址 及 
关联 的 参数 。 在 一 些 情形 中 ( 当 在 路 由 器 通告 中 设置 0 比特 时 ) ， 可 同时 使 用 自动 配 
置 和 DHCPv6。 

可 由 DHCP 服务 器 来 实施 DNS 资源 记录 更 新 ， 或 如 果 这 些 DACP 案例 是 被 禁止 
动态 更 新 的 话 ， 则 人 工 更 新 。 

人 工 配置 设备 的 物理 移动 的 做 法 ， 要求 从 IP 清单 中 指派 一 个 IP 地 址 ， 并 当 该 设 
备 在 新 子 网 上 上 电 时 ， 将 新 的 P 地 址 人 工 配 置 在 该 设备 中 。 在 此 时 ， 旧 地 址 就 可 释 
放 了 ,虽然 在 验证 地 址 可 用 性 之 前 为 防止 相应 地 址 的 未 成 功 重新 指派 ， 一 个 中 间 
“删除 进行 中 ”状态 可 能 是 有 用 的 。 为 了 反映 设备 的 新 卫 地 址 ， 也 应 该 更 新 DNS 资 
源 记 录 。 

在 所 有 这 些 情形 中 ， 应 该 使 用 IP 清单 来 识别 目的 地 子 网 或 地 址 池上 的 空闲 地 址 
(可 能 是 多 个 ) ， 并 当 确 认 设 备 移动 之 后 ,在 旧 子 网 上 释放 地 址 和 相应 的 DNS 资源 
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记录 。 

(3) 逻辑 移动 。 逻 辑 移动 有 点 挑战 性 ， 原 因 是 逻辑 移动 不 必 涉 及 一 台 设 备 的 重 
新 初始 化 。 对 于 DHCP 设备 ， 应 该 在 [ 相同 或 不 同 ] 的 DHCP 服务 器 上 配置 包含 目的 
地 IP 地址 的 一 个 地 址 池 。 在 移动 日 期 之 前 ， 地 址 池 或 设备 的 租赁 时 间 应 该 被 逐步 减 
少 。 例如， 如 果 一 个 正常 租赁 时 间 是 1 个 星期 ， 那 么 在 要 移动 的 那个 星期 ， 它 应 该 小 
到 1 天 (比如 ) ， 在 移动 的 那天 ， 应 该 小 到 2-6 小 时 。 恰 在 您 将 租赁 时 间 更 改 为 天 之 
前 ， 一 台 设 备 可 能 刷新 得 到 一 个 星期 那么 长 的 地 址 租赁 ， 所 以 直到 那个 星期 一 半 过 去 
之 前 (或 依据 您 的 Tl 时 间 选 项 设置 ) ， 它 不 会 尝试 进行 租赁 刷新 。 因 此 如 果 您 的 正 
常 租赁 时 间 是 2 个 星期 ， 则 在 计划 的 地 址 移动 之 前 ， 逐 步 将 2 个 星期 的 租赁 时 间 减 
少 。 在 移动 的 那天 ， 如 果 所 有 设备 都 要 在 几乎 相同 时 间 移 动 ， 这 样 做 比较 重要 的 话 ， 
那么 将 租赁 时 间 设 为 一 个 最 小 ?时 间 。 如 果 移 动 一 致 性 不 是 至 关 重 要 的 话 ， 那 么 保持 
在 数 小 时 量 级 上 的 租赁 时 间 ， 应 该 可 得 到 在 数 小 时 内 的 一 次 完全 移动 任务 。 

在 这 个 场景 中 ， 建 议 ， 如 果 可 以 采用 地 址 改变 比较 紧密 地 映射 DNS 信息 更 新 的 
话 ， 则 由 DHCP 服务 器 实施 DNS 更 新 。A-DHCP 设备 的 人 工 干 预 会 是 必要 的 ， 除 非 它 
们 确实 遵循 租赁 刷新 策略 ， 而 不 拥有 无 穷 的 租赁 时 间 。 

人 工 编 址 设备 的 移动 ， 遵 循 物理 移动 中 的 相同 过 程 。 从 卫 清单 中 指派 一 个 目的 
地 IP 地址 ， 并 将 新 的 IP 地 址 配置 在 设备 上 。 一旦 确认 ， 就 可 释放 旧地 址 ， 也 应 该 更 
新 DNS 资源 记录 ， 以 便 反 映 设 备 的 新 IP 地 址 。 

一 台 自 动 配置 设备 的 逻辑 移动 ， 可 以 如 下 方法 实施 ， 通 过 在 服务 相应 子 网 的 路 由 
器 上 ， 在 邻居 (路由器) 发 现 过 程 中 ， 将 其 通告 的 首选 地 址 寿命 和 有 效 地 址 寿命 值 
逐步 降低 。 缩 短 地 址 前 缀 (设备 要 从 该 前 缀 移 走 ) 的 这 些 定 时 器 值 ， 同 时 引入 带 有 
一 个 “正常 ”地 址 寿命 的 新 前 缀 ， 这 种 做 法 将 使 自动 配置 的 设备 自动 地 实施 这 种 逻 
辑 移动 。 一 旦 所 有 设备 都 移动 了 ， 且 前 一 前 缀 的 有 效 寿命 超期 ， 则 可 清除 该 前 绥 。 

(4) 子 网 移动 。 移 动 一 个 子 网 ， 可 能 涉及 两 个 结果 中 的 一 个 结果 : ws 
被 指派 的 IP 地 址 都 移动 到 另 一 个 路 由 器 接口 ， 保 留 当前 地 址 指派 ; 或 移动 到 另 一 
ee ware re hen 
起 ， 原 因 是 子 网 重新 编 址 也 会 导致 一 个 新 的 子 网 地 址 ， 虽 然 并 不 必 将 该 子 网 移 到 另 一 
个 路 由 器 接口 上 。 前 一 种 情况 要 求 考虑 在 层次 结构 内 地 址 空间 回收 (rollup， 汇 总 )， 
但 一 般 包括 修改 并 验证 路 由 器 地 址 提供 的 与 规划 的 要 一 致 ， 同 时 在 必要 情况 下 ， 更 新 
路 由 表 和 DHCP 中 继 地 址 。 

由 于 一 次 物理 移动 或 较 高 层次 的 重新 编 址 导致 的 一 个 子 网 移动 ， 会 要 求 更 多 一 些 
的 工作 。 一 次 物理 移动 (其 中 设备 要 被 物理 地 移动 (例如 当 一 个 办 事 处 搬迁 时 )) 本 
质 上 是 中 断 性 的 。 可 在 目的 路 由 器 接口 上 分 配 和 准备 目的 地 子 网 ， 还 有 上 面 描述 的 其 
他 任务 ， 它 们 与 保留 静态 地 址 以 及 更 新 DHCP 和 DNS 配置 有 关 。 当 每 台 移动 的 设备 
插入 时 ， 它 将 需要 使 用 新 的 地 址 进行 人 工 重 新 编 址 ， 和 /或 得 到 与 子 网 有 关 地 址 池上 


四 ”取决 于 网 络 流量 和 服务 器 性 能 考虑 因素 ， 最 小 时 间 可 在 数 分 钟 或 数 小 时 的 量 级 上 。 租 赁 时 间 越 
短 ， 则 将 发 送 的 DHCP 报 文 就 越 多 ， 但 DHCP 客户 端 移动 可 被 编排 的 时 间 就 越 准 。 
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的 一 个 DHCP 租赁 ， 过 程 见 上 面 对 IP Hh eh rR TIE, AS, eA eh 
动 或 重新 编 址 ， 遵 循 每 台 设 备 逻 辑 IP 地 址 移动 的 过 程 。 

在 所 有 设备 都 从 旧 子 网 移 到 新 子 网 后 ， 旧 子 网 就 可 遵循 删除 子 网 过 程 进行 释放 。 

(5) 地 址 块 移动 。 将 带 有 低层 子 网 和 IP 地 址 的 宏 层次 地 址 块 ， 要 求 仔细 的 项 目 
规划 和 实施 。 目 的 地 地 址 块 的 分 配 应 该 遵循 针对 地 址 块 分 配 列 出 的 那些 任务 。 假 定 一 
次 移动 仅 是 重新 编 址 ， 应 该 分 配 一 个 类 似 尺寸 的 目的 地 址 块 。 如 果 移 动 是 由 地 址 合并 
或 扩展 导致 的 ， 或 可 能 产生 这 样 的 机 会 ， 则 目的 地 址 块 分 配 的 大 小 应 该 依据 低层 容量 
需求 和 拓扑 架构 ， 见 地 址 块 分 配 一 节 讨 论 的 情形 。 一 旦 完成 分 配 ， 就 可 开始 亚 层次 的 
分 配 和 子 网 分 配 。 之 后 卫 地 址 和 地 址 池 的 移动 ， 遵 循 针 对 P 地 址 移动 所 描述 的 过 
程 。 随 着 P 地 址 和 子 网 完全 从 其 旧 指派 中 移出 ， 且 移动 被 确认 、 其 对 应 的 资源 记录 
被 清除 时 ， 这 些 地 址 和 子 网 就 可 退役 或 释放 。 


14.3.4 ”地址 块 / 子 网 分 割 


将 一 个 地 址 块 分 制 ， 涉 及 从 一 个 给 定 源 地 址 块 中 产生 两 个 或 多 个 较 小 尺寸 的 地 址 
块 。 为 了 释放 地 址 空间 或 甚至 作为 地 址 空间 亚 层 次 分 配 的 一 种 方式 ， 分 割 就 是 必要 
的 。 在 前 一 种 情形 中 ， 在 一 个 子 网 内 的 地 址 可 被 合并 到 该 子 网 的 前 一 半 ， 并 释放 在 后 
一 半 中 的 指派 。 在 这 种 场景 中 ， 将 地 址 块 分 割 的 做 法 ， 就 得 到 一 个 被 占用 的 子 网 
(前 一 半 ) 和 一 个 空闲 的 子 网 〈 后 一 半 ) 。 一 些 组 织 机 构 历 史上 分 配 了 区 域 性 的 地 址 
块 ， 那 么 可 将 这 些 地 址 块 分 制 ， 在 地 址 层次 结构 中 指派 较 低 层次 的 亚 地 址 块 和 子 网 。 
在 某 种 意义 上 而 言 ， 这 是 地 址 块 分 配 的 一 种 形式 。 

注意 ， 一 般 而 言 ， 将 一 个 地 址 块 分 成 两 个 地 址 块 ， 即 当 有 一 个 网 络 和 一 个 广播 地 
址 的 以 前 单一 网 络 现在 变 为 两 个 网 络 ， 每 个 新 网 络 有 一 个 网 络 和 一 个 广播 地 址 时 ， 将 
有 可 能 使 两 个 以 前 可 用 的 地 址 成 为 不 可 用 的 。 例 如 ，192. 168. 24. 0/24 网 络 有 网 络 地 
tit 192. 168. 24.0 和 广播 地 址 192. 168. 24.255。 将 这 个 地 址 块 分 成 两 个 /25 网 络 
192. 168. 24. 0/25 和 192. 168. 24. 128/25， 则 使 以 前 可 用 的 地 址 192. 168. 24. 127 作为 
新 的 地 一 个 网 络 的 广播 地 址 、192. 168. 24. 128 作为 第 二 个 网 络 的 网 络 地 址 。 

当 分 割地 址 块 时 ， 要 注意 DNS 反 向 区 域 的 影响 。 如 果 所 得 到 的 两 个 子 网 的 DNS 
权威 机 构 仍 然 在 一 组 管理 员 控 制 之 下 ， 则 原始 的 in- addr. arpa 或 ip6. arpa 区 域 也 许 不 
需要 改动 。 但 是 ， 如 果 一 个 得 到 的 分 割地 址 块 或 子 网 ， 其 设备 在 由 一 个 独立 的 委派 权 
威 控制 下 的 DNS 中 得 到 管理 ， 那 么 原始 的 反问 区 域 也 要 求 分 割 。 这 涉及 产生 对 应 于 
所 得 到 分 割 子 网 的 两 个 反 向 区 域 ， 并 通知 负 有 职责 的 分 割 子 网 的 父 反 向 区 域 管理 员 ， 
使 之 正确 地 将 反 向 区 域 树 下 的 权限 委派 给 负责 权威 信息 的 正确 的 DNS 服务 器 集 。 

将 一 个 地 址 块 分 割 的 做 法 ， 不必 仪 约束 为 分 割 成 两 半 ( 比如 一 个 /24 网 络 分 割 成 
两 个 /25 网 络 ) 。 一 个 分 割 可 被 用 作 从 一 个 /20 网 络 中 切 出 一 个 /23 网 络 ， 如 在 子 网 分 
配 一 节 中 将 地 址 空间 指派 给 我 们 新 的 波 特 兰 配送 中 心 时 ， 我 们 所 做 的 那样 。 这 个 分 割 
得 到 一 个 /23 网 络 (我 们 将 之 指派 给 波 特 兰 ) 和 空闲 空间 (由 一 个 /23 、 一 个 /22 和 
一 个 /21 网 络 组 成 ) 。 在 这 个 例子 中 ， 我 们 遵循 我 们 的 最 优 分 配 策略 ， 保 留 大 型 的 地 
址 块 。 另 外 ， 我 们 可 简单 地 将 我 们 的 Z20 网 络 分 成 八 个 /23 网 络 ， 除 非 策略 使 用 等 尺 
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才 的 分 配 ， 和 否则 这 种 方法 是 严重 浪费 的 ， 这 种 策略 是 均匀 分 配 策略 ， 它 与 按 需 分 配 策 
略 是 相反 的 。 

总 之 ， 分 割 一 个 地 址 块 的 过 程 ， 类 似 于 分 配 一 个 地 址 块 的 过 程 。 要 被 分 割 的 地 址 
块 被 不 断 地 划分 ， 直 到 得 到 期 望 的 地 址 块 太 十 时 才 不 再 划分 。 剩 余 的 空闲 地 址 块 保持 
原状 ， 或 也 被 分 割 为 期 望 地 址 块 大 小 的 相同 尺寸 ， 从 而 得 到 一 个 均匀 的 地 址 块 分 割 。 
DNS 对 反 上 向 域 树 和 管理 委派 的 列 含 意义 是 必须 要 考虑 的 。 且 要 牢记 在 心 的 是 ， 从 分 
割 得 到 的 每 个 网 络 ， 都 会 产生 一 个 附加 的 网 络 和 广播 地 址 。 


14.3.5 地址 块 / 子 网 合并 


一 次 合并 将 两 个 连续 的 等 尺寸 地 址 块 或 子 网 组 合成 单一 地 址 块 或 子 网 。 在 地 址 块 
删除 一 节 我 们 看 到 了 合并 地 址 块 的 一 个 例子 。 在 释放 阿 纳 海 姆 地 址 块 10. 32. 142. 0/24 
之 后 ,我 们 将 其 合并 到 一 个 连续 的 空闲 地 址 块 10. 32. 143. 0/24， 得 到 单一 地 址 块 
10. 32. 142. 0/23 。 可 实施 后 续 的 合并 ， 从 而 合并 连续 地 址 空间 的 较 小 地 址 块 。 合 并 仅 
对 相同 尺寸 的 连续 地 址 块 是 有 效 的 。 将 一 个 /25 网 络 和 一 个 /24 网 络 合 并 是 无 效 的 ， 
原因 是 没有 包括 在 合并 中 的 “ 男 一 个 /25 网 络 ” 一 定 还 保持 在 唯一 识别 使 用 状态 。 但 
是 ， 两 个 连续 的 /25 网 络 和 一 个 邻居 /24 网 络 可 被 合并 ， 形 成 一 个 /23 网 络 。 这 两 个 / 
25 网 络 将 首先 被 合并 形成 一 个 /24 网 络 ; 之 后 这 个 网 络 与 男 一 个 /24 网 络 可 被 合并 ， 
产生 一 个 /23 网 络 。 

被 合并 地 址 块 的 渐次 增加 的 做 法 ， 也 会 要 求 DNS 反 向 区 域 的 更 新 ， 以 便 将 低层 
设备 资源 记录 合并 到 一 个 “合并 的 ” 反 向 区 域 ， 以 此 反映 得 到 的 合并 子 网 。 


14.3.6 DHCP 服务 器 配置 


如 我 们 在 本 书 第 工 部 分 讲 到 的 ，DHCP 服务 器 配置 是 一 项 关键 的 PAM 任务 。 如 
我 们 已 经 讨论 的 ,迄今 为 止 讲 到 的 地 址 管理 任务 ， 对 DHCP 服务 器 配置 具有 重大 影 
响 。DHCP 服务 器 配置 不 仅仅 是 地 址 池 创建 、 移 动 和 删除 ， 虽 然 其 他 功能 的 范围 会 受 
到 DHCP 服务 器 厂商 能 力 的 约束 ， 但 也 不 仅仅 如 此 这 些 功能 (还 有 其 他 功能 ) 。DH- 
CP 服务 器 配置 的 主要 参数 是 

(1) DHCP 地 址 池 。 地 址 范围 以 及 关联 的 DHCP 选项 ， 还 有 用 于 动态 客户 端 、 自 
动 化 的 客户 端 和 人 工 配 置 客户 端的 服务 器 策略 。 

(2) 客户 端 类 。 匹 配 值 的 参数 (例如 vendor-class- identifier = ° Avaya’ 4600) 及 
关联 的 allow/deny W, WA DHCP 选项 和 服务 器 策略 。 

(3) 针对 主 /故障 切换 或 分 割 范围 的 高 可 用 性 参数 设置 。 

(4) 服务 器 活动 的 配置 ， 例 如 动态 DNS 更 新 以 及 其 他 服务 器 命令 (directives ) 
和 参数 。 

实际 的 服务 器 配置 语法 和 界面 将 取决 于 服务 器 类 型 。 例 如 ，ISC DHCP 服务 器 可 
通过 编辑 dhep. conf 文件 进行 配置 ， 而 微软 DHCP 则 要 使 用 一 个 Windows MMC 界面 进 
行 更 新 。 这 两 个 厂商 和 其 他 DACP 厂商 也 提供 命令 行 界面 或 API 来 实施 配置 更 新 。 在 
第 7 章 讲 到 的 DHCP 部 署 ， 在 每 台 服 务 器 的 配置 中 也 扮演 了 一 定 的 角色 。 要 了 解 这 些 
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产品 和 其 他 产品 ， 请 参考 所 购买 软件 厂商 的 文档 材料 。 

(1) 地 址 指派 /DHCP FIP 地 址 管理 。 为 了 确保 唯一 性 ， 需 要 记录 各 项 静态 全 地 
址 指派 。 在 所 分 配 的 子 网 内 ， 无 论 是 静态 指派 的 还 是 动态 指派 的 ， 都 应 该 跟踪 DHCP 
地 址 池 ， 以 便 提供 子 网 内 地 址 指派 的 总 体 视图 。 虽 然 在 一 个 表格 内 跟踪 个 体 DHCP H 
赁 是 不 容易 实施 的 ， 但 至 少 应 该 实施 表格 或 数据 库 内 地 址 池 分 配 的 跟踪 记录 。 这 将 有 
助 于 确保 随时 间 消 逝 ， 保 持 唯一 一 致 的 地 址 指派 。 

这 个 合并 的 地 址 指派 数据 库 提 供 了 所 知 层次 的 卫 地 址 清单 。IPAM 全 球 公 司 的 团 
队 为 静态 设备 〈 例 如 路 由 器 、 交 换 机 和 服务 器 ) 在 每 个 子 网 上 都 指派 了 一 个 一 致 的 
TP 地 址 集 。 该 团队 也 为 打印 机 定义 了 许多 人 工 配置 的 DHCP 地 址 ， 为 DHCP 客户 端 设 
备 (如 笔记 本 计算 机 和 VoIP 电话 ) 间 共 享 定 义 了 地 址 池 。 针 对 清单 个 体 地 址 和 地 址 
池 指 派 ， 我 们 为 每 个 站 点 创建 了 一 个 新 的 标签 (tab) 页 (这 个 表格 正 变 得 非常 巨 
大 )。 对 于 某 些 设备 ， 附 加 的 “备注 ”信息 对 于 跟踪 也 是 有 用 的 ， 例 如 厂商 联系 方 
式 、 支 持 信 息 ， 资 产 信息 等 。 

除了 跟踪 IP 地址 指派 外 ， 必 须 实施 相应 DHCP 服务 器 (可 能 是 多 台 ) 的 配置 ， 
以 便 支 持 DHCP 客户 端 得 到 地 址 。DHCP 服务 器 的 配置 ， 涉 及 采用 对 应 于 地 址 规划 内 
那些 指派 的 地 址 范围 ， 配 置 服务 器 。 在 图 14-1 中 ,我 们 分 配 了 地 址 10. 16. 128. 50 ~ 
10. 16. 129. 240 作为 一 个 DHCP 池 ， 所 以 必须 在 一 台 DHCP 服务 器 上 定义 这 个 地 址 范 
围 。 男 外 ， 为 了 正确 地 配置 不 同类 型 的 客户 端 ， 在 DHCP 服务 器 上 需要 配置 客户 端 类 
言 息 、 选 项 和 其 他 配置 参数 。 这 项 配置 操作 可 采用 如 下 方式 实施 ， 针 对 ISC 的 DHCP 
服务 器 使 用 一 个 文本 编辑 器 ， 对 于 微软 DHCP 服务 器 使 用 微软 管理 控制 台 (MMC), 
或 使 用 一 个 IPAM 工具 ， 它 支持 针对 部 署 于 您 所 在 网 络 中 DHCP 服务 器 类 型 ， 实 施 自 
动 化 的 DHCP 服务 器 配置 。 使 用 一 个 IPAM 工具 的 主要 优势 是 ，IP 清单 信息 容易 支持 
EX DHCP 池 ， 且 可 在 IPAM 系统 中 定义 许多 DHCP 服务 器 配置 信息 ， 之 后 将 这 些 配 
置 施用 到 多 台 DHCP 服务 器 ， 而 不 是 在 多 台 服 务 器 上 重复 性 地 进行 定义 。 


14. 3.7 DNS 服务 器 配置 


按照 本 书 第 五 部 分 的 描述 ， 像 DHCP 一 样 ，DNS 服务 器 配置 是 一 项 至 关 重 要 的 
IPAM 功能 。 如 我 们 所 看 到 的 ，DNS 配置 与 地 址 分 配 、 指 派 、 移 动 和 删除 密切 地 联系 
在 一 起 。 前 面 讨论 的 这 些 任务 影响 DNS 域 、 资 源 记 录 ， 并 可 能 影响 服务 器 配置 参数 。 
关键 的 DNS 服务 器 配置 参数 如 下 。 

(1) 域 。 在 DNS 服务 器 上 添加 、 修 改 或 删除 域 / 区 域 。 

(2) 资源 记录 。 添 如、 修改 或 删除 资源 记录 。 

(3) 服务 器 、 视 图 和 区 域 配 置 。 设 置 和 修改 选项 参数 会 影响 ACL、 服 务 器 配 
置 等 。 

实际 的 DNS 服务 器 配置 语法 将 取决 于 服务 器 类 型 。 可 通过 编辑 服务 器 上 的 
named. conf 和 关联 的 区 域 文件 ， 配 置 ISC BIND 服务 器 。 支 持 DDNS 的 DNS 服务 器 也 
支持 采用 这 种 方式 的 资源 记录 更 新 。 使 用 nsupdate 或 类 似 的 DDNS 机 制 的 做 法 ， 提 供 
了 实施 增 量 式 更 新 而 不 需要 人 工 编辑 区 域 文 本 文件 并 重 载 相 应 区 域 (例如 使 用 rdc) 
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位 置 地 址 块 / 子 网 IP 地 址 地 址 和 设备 类 型 备注 
旧金山 | 10. 16. 128.0/23 | 10.16. 128. 1 静态 一 一 路 由 器 SanFran VoIP 子 网 路 由 器 1 
10. 16. 128. 2 静态 一 一 路 由 器 SanFran VoIP 子 网 路 由 器 2 
10. 16. 128. 3 静态 一 一 路 由 器 ”| SanFran VoIP 子 网 路 由 器 HSRP 地 址 
10. 16. 128. 4 | 静态 一 一 DNS 服务 器 技术 支持 联系 Fred Jones 
10. 16. 128. 5 | 静态 一 一 FTP 服务 器 
10. 16. 128.6 | 静态 一 一 文件 服务 器 SanFran 备份 
10. 16. 128. 7 | 静态 一 一 文件 服务 器 j 雅 图 的 备份 
10. 16. 128.8 | 静态 一 一 文件 服务 器 菲尼克斯 的 备份 
10. 16. 128. 9 为 以 后 发 展 保留 
10. 16. 128. 10 静态 一 一 IPPBX IP PBX-SF1 
10. 16. 128. 11 静态 一 一 IPPBX IP PBX- SF2 
10. 16. 128. 20 工程 实验 室 服务 器 联系 工程 部 寻求 帮助 
10. 16. 128. 21 工程 实验 室 服务 器 联系 工程 部 寻求 帮助 
10. 16. 128. 22 工程 实验 室 服务 器 联系 工程 部 寻求 帮助 
10. 16. 128. 50 ~ 
120-340 VoIP DHCP 技术 支持 联系 Mary Smith 


图 14-1 IP 地 址 的 样 例 清单 表 


的 方法 。DDNS 更 新 仅 适 用 于 资源 记录 增加 /改变 /删除 ， 所 以 任何 区 域 或 服务 器 配置 
参数 改变 或 区 域 添加 或 删除 ， 都 仍然 需要 进行 文本 文件 编辑 ， 并 重新 载 人 named. conf 
和 /或 被 影响 的 区 域 。 如 我 们 在 第 11 章 中 讨论 的 ， 您 的 DNS 服务 器 的 部 署 模型 也 在 
服务 器 配置 中 扮演 了 一 个 角色 。 

(1) DNS 和 J 了 PP 地址 管理 。 给 定 IP 地 址 与 反 向 域 之 间 的 直接 关系 、 主 机 名 和 其 他 主 
机 信息 条 件 下 ， 清 楚 的 是 ，DNS 是 IP 地 址 管理 的 一 个 关键 组 件 。 在 一 个 IP 子 网 上 的 各 
主机 被 指派 主机 名 (目的 是 方便 人 们 理解 ) 和 JP 地 址 (目的 是 支持 通过 了 P FOC 
信 ) DNS 提供 主机 名 和 IP 地 址 之 间 至 关 重 要 的 联系 ， 这 使 IP 应 用 比较 容易 使 用 。 

从 一 个 下 地 址 管理 角度 看 ， 明 显 的 是 ， 反 向 DNS 域 与 IP 地 址 块 和 子 网 分 配 有 直 
接 关 联 。 这 些 域 是 直接 从 它们 相应 的 IP 地址 推算 得 到 的 。IPAM 全 球 公 司 是 从 其 ISP 
或 域 注 册 处 得 到 ipamworldwide. com 域名 的 。 在 这 样 做 时 ，IPAM 全 球 公 司 提供 三 个 
DNS 服务 器 地 址 ， 可 将 查找 ipamworldwide. com 后 级 解析 的 迭代 查询 ， 定 向 到 这 三 个 
地 址 。 在 指派 万 维 网 、 电 子 邮 件 和 有 关 的 面向 因特网 的 服务 器 后 ， 这 个 域 后 级 可 帮助 
IPAM 全 球 公司 创建 一 个 全 球 因特网 (点 )。 

在 组 织 机 构 内 ， 这 个 域名 也 用 在 内 部 网 上 。 为 公司 、 销 售 、 工 程 和 物流 团队 ， 定 
义 了 子 域 。 工程 子 域 (eng. ipamworldwide. com) 被 委派 给 工程 团队 的 DNS 管理 员 ， 
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而 其 他 子 域 将 在 UT 组 内 采取 中 心 式 管理 。 可 在 不 影响 IT 团队 管理 工作 的 条 件 下 ， 工 
程 团 队 可 进一步 在 eng. ipamworldwide. com 之 下 创建 子 域 。 通 过 委派 eng 子 域 ，IT 
队 赋 予 工程 团队 管理 所 有 eng 子 域 主机 及 其 子 域 的 权力 。 

在 遵守 中 心 式 IP 地 址 清单 的 常规 思维 过 程 中 ， 得 到 的 结论 是 ， 应 该 实施 与 每 个 


IP 地 址 关联 的 主机 名 和 资源 记录 跟踪 。 
全 球 公司 旧金山 办 事 处 的 ' 
法 是 在 我 们 的 表 上 简单 地 


OL) MSE a 


在 我 们 的 IP 清单 表 (我 们 刚刚 回顾 了 IPAM 
Hf 上， 我 们 可 针对 个 体 设 备 跟 踪 这 个 信息 ， 
看 和 人 FQDN 列 ， 如 图 14-2 所 示 。 


方 


地 址 块 / 子 网 IP 地 址 地 址 类 型 FQDN 备注 
SanFran VoIP 
10. 16. 128. 0/23) 10. 16. 128. 1 静态 路 由 器 router- sf01. ipamworldwide. com. pasai RI 
SanFran VoIP 
10. 16. 128.2 | 静态 路 由 器 router- sf10. ipamworldwide. com. ee as 
SanFran VoIP 于 网 
10. 16. 128.3 | 静态 路 由 器 router- sfl1. ipamworldwide. com. anFran VoIP 了 网 
路 由 器 HSRP 地 址 
静态 DNS 支持 联系 
10. 16. 128. 4 j ns-sf01. ipamworldwide. com 技术 支持 联系 
民 务 器 Fred Jones 
10. 16. 128.5 HS HIP ftp- sf. i ldwid 
. 16. . tp-sf ipamworldwide. com. 
R 务 器 8 
静态 文件 . . . 
10. 16. 128.6 e filecab-sf. ipamworldwide. com. San Fran 从 属 
民 务 器 
静态 一 文件 Laon 
10. 16. 128.7 5 file-dr. ipamworldwide. com. 西雅图 备份 
民 务 器 
静态 一 文件 
10. 16. 128.8 z file- phx. ipamworldwide. com 菲尼克斯 备份 
RIS ait 
10. 16. 128. 9 为 发 展 增长 预 留 
10. 16. 128. 10 | 静态 IP PBX | denalol. corp. ipamworldwide. com. IP PBX-SF1 
10. 16. 128. 11 | 静态 一 一 IP PBX | denalo2. corp. ipamworldwide. com. IP PBX-SF2 
工程 实验 室 联系 工程 部 寻 
10. 16. 128. 20 Ss eng-sfl. eng. ipamworldwide. com. Wire 
服务 器 mie: 求 帮助 
工程 实验 室 联系 工程 部 寻 
10. 16. 128. 21 本 eng-sf2. eng. ipamworldwide. com. oe 
服务 器 eines 求 帮助 
工程 实验 室 联系 工程 部 寻 
10. 16. 128. 22 a eng-sf3. eng. ipamworldwide. com. ae 
服务 器 Aii 求 帮助 
10. 16. 128. 50 ~ | 用 于 VoIP 电话 的 技术 支持 联系 
10. 16. 129. 240 DHCP 池 Mary Smith 
图 14-2 带 有 FQDN 的 样 例 清单 表 
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在 上 例 中 ， 我 们 仅 跟踪 每 台 静 态 确 定 主机 的 FQDN。 从 DHCP 地 址 池 得 到 租赁 的 
各 主机 ， 是 通过 动态 DNS 更 新 它们 在 DNS 中 的 主机 名 信息 的 。 我 们 需要 确保 我 们 正 
确 地 将 这 个 清单 信息 转录 到 DNS 服务 器 配置 之 中 。 从 这 个 “数据 库 ”， 我 们 可 推算 得 
到 对 应 于 每 台 主 机 的 A、AAAA 和 PTR 记录 。 我 们 可 在 表格 上 扩展 列 ， 来 跟踪 与 给 定 
主机 关联 的 其 他 资源 记录 ， 例 如 CNAME 、MX 等 。 


14.3.8 服务 器 升级 管理 


DHCP 和 DNS 服务 器 软件 的 新 版 本 是 周期 性 发 布 的 ， 目 的 是 解决 安全 弱点 ， 提 供 
缺陷 修正 ,或 提供 新 的 功能 。 实 施 一 次 升级 的 紧迫 性 ， 通 常 取决 于 要 解决 什么 ， 安 全 
弱点 当然 是 最 高 紧迫 性 的 。 典 型 情况 下 ， 升 级 过 程 是 特定 于 厂商 的 ， 并 可 能 要 求 匹配 
硬件 平台 和 操作 系统 ， 只 有 在 这 种 匹配 条 件 下 ， 升 级 的 版 本 才 被 证 明 是 可 运行 的 。 人 
们 希望 的 是 ， 底 层 操作 系统 需求 将 仅 对 新 的 功能 特征 引入 时 才 会 发 生 改变 ， 是 不 针对 
安全 或 缺陷 修正 的 ， 但 这 是 由 厂商 策略 所 控制 的 。 

在 一 个 整体 性 的 升级 包 中 ， 大 量 厂商 DHCP/DNS 工具 (appliance) 升级 批量 进 
入 操作 系统 升级 才 是 必要 的 。 因 为 典型 情况 下 ， 工 具 厂 商 和 硬件 平台 一 起 提供 操作 系 
统 ， 对 于 其 DHCP 和 DNS 服务 的 较 新 版 本 ， 如 有 必要 ， 他们 应 该 发 布 兼容 性 升级 。 
多 数 工 具 解 决 方案 支持 升级 软件 包 的 中 心 化 阶段 式 进行 ， 是 要 部 署 到 分 布 式 工 具 的 ， 
这 极 大 地 简化 了 一 个 基于 软件 的 升级 过 程 难 度 。 

如 果 您 正在 您 自己 的 硬件 上 运行 ISC、 微 软 或 其 他 厂商 的 DHCP 或 DNS 守护 进 
程 ， 则 您 将 不 仅 需 要 不 断 了 解 DHCP/DNS 安全 更 新 ， 而且 需要 了 解 运 行 在 硬件 上 影 
响 相 应 操作 系统 的 那些 更 新 。 


14.4 故障 管理 


故障 管理 不 仅 包 括 故 障 检测 ， 而 且 包 括 告警 通知 、 故 障 隔 离 能 力 、 故 障 跟 踪 和 问 
题解 决 过 程 。 针 对 故障 和 事件 ， 对 DHCP 和 DNS 服务 器 实施 监测 ， 支 持 最 小 化 服务 
中 断 的 一 种 先 验 方法 。 在 一 个 良好 设计 的 网 络 服 务 架构 中 ， 不 用 考虑 个 体 DHCP. 或 
DNS 服务 器 中 断 的 情况 ， 客 户 端 应 该 能 够 得 到 地 址 租赁 ， 并 解析 域名 。 不 过 ， 对 这 种 
一 次 中 断 的 检测 是 重要 的 ， 原因 是 (服务) 中断 会 减少 客户 端 可 用 来 得 到 这 些 服 务 
的 服务 器 数量 ， 因 此 在 出 现 一 次 额外 的 服务 器 故障 情况 下 ， 会 增加 对 服务 中 断 的 脆弱 
性 。 例 如 ， 在 一 个 DHO 故障 切换 部 署 中 ， 一 台 服 务 器 的 故障 将 仅 留 下 一 台 服 务 器 可 
用 于 服务 DHCP 客户 端 。 在 这 样 一 个 场景 中 ， 失 效 服务 器 的 检测 ， 可 有 利于 及 时 地 
(HR AERIS) 解决 服务 絮 中 断 。 


14. 4.1 故障 检测 


取决 于 所 部 署 DHCP 和 DNS 服务 器 支持 的 能 力 ， 可 使 用 各 种 方法 来 实施 故障 检 
测 。 这 些 方法 范围 广泛 ， 从 专 有 的 轮 询 或 通知 ， 到 syslog 扫描 和 /或 转发 ， 到 基于 
SNMP 的 网 络 管理 系统 的 SNMP 轮 询 和 陷阱 检测 。 另 外 ， 一 些 商 用 卫 管理 系统 提供 系 
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统 内 或 专用 的 监测 方法 ， 特 别 对 于 基于 仪器 设备 的 产品 更 是 如 此 。 因 为 仪器 设备 是 
全 自 包含 的 解决 方案 ， 所 以 不 仅 集 成 了 DHCP 和 DNS 服务 ， 而 且 集 成 了 一 个 硬件 
人 台 和 操作 系统 ， 该 厂商 具有 如 下 能 力 ， 即 在 硬件 、 操 作 系 统 和 DHCP/DNS 层次 ， 可 
完全 访问 与 仪器 设备 有 关 的 故障 信息 。 

除了 监测 DHCP 和 DNS 服务 器 的 状态 外 ， 正 如 可 由 服务 器 报告 的 ， 监 测 处 于 暂 
停 的 服务 ， 是 一 种 好 的 想法 。 在 如 下 情况 下 会 出 现 服务 暂停 ， 即 如 果 一 项 服务 正在 运 
行 ， 但 处 于 这 样 的 一 个 状态 ， 其 中 在 提供 地 址 租赁 或 解析 DNS 查询 方面 ， 它 不 能 实 
施 它 的 角色 任务 。 可 采用 如 下 步骤 检测 服务 暂停 ， 即 分 析 所 接收 和 处 理 的 对 地 址 租赁 
或 查询 事务 的 后 续 轮 询 ， 验 证 大 于 零 的 差异 计数 (differential counts) ， 其 中 假定 在 一 
天 的 那个 特定 时 间 处 正常 事务 率 是 非 零 的 。 

服务 测试 的 另 一 种 应 需 形 式 涉及 向 服务 器 发 送 一 条 DNS 查询 或 DHCPDISCOVER 
(或 SOLICIT) 报 文 ， 并 验证 接收 到 一 条 正确 的 响应 报 文 。 这 种 策略 提供 了 某 种 保障 ， 
即 服 务 不 仅 是 运行 的 ， 而 且 可 对 客户 端 做 出 响应。 基线 是 某 种 形式 的 服务 功能 性 故障 
检测 ， 对 于 一 名 端 用 户 可 能 认为 是 一 次 故障 或 中 断 的 情形 ， 提 供 一 个 较真 实 的 映射 
关系 。 

除了 监测 DHCP 和 DNS 服务 器 外 ， 对 IP 管理 系统 本 身 的 监测 ， 为 确保 可 访问 IP 
地 址 以 及 DHCP 和 DNS 服务 器 配置 信息 (在 中 断 妨碍 得 到 这 些 信息 的 其 他 情况 下 可 
使 用 这 种 方法 ) ， 提 供 了 方便 。 采取 最 小 模式 (最 低 限 度 ) ， 数 据 存储 的 备份 或 分 布 
可 提供 一 个 快照 ， 出 现 一 个 站 点 中 断 或 灾难 时 ， 可 重建 信息 。 

联网 设备 和 通信 和 链 路 的 监测 ， 是 通用 网 络 监测 的 一 项 共同 实践 ， 它 可 对 影响 客户 
端 到 达 DHCP 或 DNS 服务 器 的 网 络 中 断 提供 深入 全 面 的 信息 。 在 对 一 个 特定 问题 排 
查 或 故障 排查 过 程 中 ， 这 项 额外 的 信息 是 非常 有 帮助 的 。 
故障 相关 是 对 从 多 个 网 元 或 管理 系统 除 所 接收 个 体 故 障 的 分 析 ， 有 助 于 隔离 故障 
集合 的 根源 。 例 如 ， 来 自 一 台 层 2 交换 机 、 一 台 路 由 器 和 一 台 WAN 接 入 设备 的 各 故 
障 可 被 整体 性 地 分 析 ， 揭 示 出 这 三 种 故障 是 相关 的 ， 可 能 的 根源 是 一 次 链 路 中 断 。 故 
障 相关 是 大 型 网 络 管理 系统 的 一 项 共同 功能 ， 且 如 果 您 的 卫 管 理 系统 提供 报警 反馈 ， 
就 能 够 将 之 馈 人 到 一 个 较 高 层 的 报警 关联 功能 。 不 论 故 障 相关 是 由 一 个 网 络 管理 系统 
自动 实施 的 ， 还 是 人 工地 比较 来 自 多 个 系统 的 信息 ， 这 个 过 程 都 暴露 了 用 于 故障 分 析 
的 一 个 较 广 的 数据 集合 ， 目 标 是 将 一 个 故障 隔离 到 一 台 给 定 服 务 器 、 一 条 链 路 或 一 个 
网 元 。 

对 于 负责 管理 一 个 IP 网 络 的 那些 人 员 来 说 ， 故 障 管理 能 力 是 一 项 重要 考虑 ， 且 
关键 的 DHCP 或 DNS 网 络 服务 应 该 处 于 被 监测 的 那些 网 元 行列 之 中 。 可 取得 故障 影 
响 的 缓解 效果 ， 方 法 是 部 署 高 可 用 的 配置 ， 以 便 最 小 化 任意 个 体 组 件 一 次 故障 导致 的 
端 用 户 影 响 。 


14.4.2 ” 排 错 和 故障 解决 


(1) IP 地 址 排 错 。 各 种 工具 可 用 于 排查 IP 指派 、DNS 和 DHCP 故障 ， 其 中 一 些 
甚至 可 由 您 的 IPAM 厂商 提供 。 为 了 验证 或 识别 IP 地 址 指派 ， 有 意 进 行 的 或 无 意 注意 


at 


N 
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到 的 ， 各 种 发 现 技 术 将 被 证 明 是 有 益处 的 。 从 一 种 简单 的 ICMP Echo 请 求 、ping、 
traceroute, nmap 或 SNMP， 可 用 各 种 工具 ， 尝 试 联系 个 体 主机 或 查看 路 由 器 或 交换 机 
ARP 表 。 许 多 IPAM 系统 至 少 继承 了 一 种 形式 的 发 现 技术 ， 以 便 提供 IP 地 址 指派 的 
验证 或 协助 排 错 。 

(2) DNS 排 错 。 除 了 服务 器 可 达 性 和 服务 器 /服务 状态 检查 外 ， 对 DNS 解析 的 排 
错 ， 是 诊断 和 解决 DNS 问题 所 需要 的 一 项 关键 功能 。ISC 提供 了 一 对 配置 检查 工具 ， 
作为 载 人 网 络 配置 或 区 域 文 件 之 前 的 一 次 语法 检查 ， 这 种 工具 是 有 用 的 。 
配置 文件 检查 。named-checkconf (144) 命令 实施 named. conf 文件 的 语法 检查 。 
这 个 命令 的 语法 是 

named-checkconf [ -v] [ -j] [ -t directory] [filepath] [ - z] 

命令 参数 定义 如 下 。 

1) -v: 打印 named-checkconf 的 版 本 。 

2) -j: 当 载 和 一 个 区 域 文件 时 ， 如 果 存 在 日 志文 件 ， 则 读 入 该 文件 。 

3) -t directory; 为 了 处 理 所 包 括 的 命令 (directive), HE directory 的 root (chroot) o 

4) filepath; named. conf 文件 的 路 径 ， 默 认为 [etc/named. conf, 

5) -z: 按照 named. conf 中 定义 的 ， 载 入 主 区 域 文 件 ， 来 验证 正确 的 载 人 。 

区 域 文件 检查 。named-checkzone (144) 工具 提供 对 一 个 特定 区 域 文件 的 语法 检 
查 。 这 个 命令 的 语法 为 

named-checkzone [ - v] [ -j] [ -d] [ -q] [ -c class] [ -k mode] [ -n mode] 


[ -o filename | 


[ -t directory] [ -w directory] [ - D] [zonename | [ filepath ] 

命令 参数 定义 如 下 。 

1) -v: 打印 named-checkzone 的 版 本 。 

2) -j: 当 载 和 一 个 区 域 文 件 时 ， 如 果 存 在 日 志文 件 ， 则 读 入 该 文件 。 

3) -d: 激活 调试 。 

4) -q: 静默 模式 ，1 = 错误 ,0 = 没有 错误 。 

5) -c class; 指定 区 域 类 : 默认 为 IN, 

6) -k mode: 以 fail (失效 ) wam (警告 ) (默认 的 ) BK ignore (忽略 ) 三 种 模 
式 (mode) 之 一 对 主机 名 实施 check-name 检查 。 

7) -n mode; 以 fail (失效 ) wam (ZE) (默认 的 ) 或 ignore (忽略 ) 三 种 模 
式 (mode) 之 一 检查 NS 记录 是 否 不 正确 地 将 IP 地 址 用 作 RData。 

8) -o filename; 将 区 域 输出 写 到 filename, 

9) -t directory; 为 了 处 理 包括 命令 ， 将 root (chroot) 更 改 到 directory, 

10) -w directory; 为 了 处 理 包括 命令 ,将 当前 工作 目录 更 改 到 directory, 

11) zonename: 正 被 检查 的 区 域 的 域名 。 

12) filepath: 到 区 域 文件 的 路 径 。 

名 字 服 务 器 检查 。 在 最 流行 的 DNS 诊断 工具 中 ， 有 两 个 是 nslookup (名 字 服 务 器 
查找 ) 和 dig (域名 信息 探索 器 ) nslookup 被 包括 在 Windows DNS 安装 中 , 在 BIND 
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软件 发 布 中 都 带 有 nslookup 和 dig, nslookup (145) 是 一 个 简单 的 工具 ， 它 支持 对 一 
E DNS 服务 器 的 查询 。 如 今 ， 多 数 管理 员 首 选 dig， 该 工具 提供 对 查询 构造 形成 、 解 
析 器 配置 覆盖 (override)、 输 出 格式 化 等 的 更 多 细节 和 控制 。 为 了 使 用 nslookup 而 实 
施 单一 查找 ， 简 单 输入 

nslookup lookup-value [ name server | 

其 中 lookup-value 是 要 查找 的 主机 域名 或 IP 地址 ，name server 是 要 查询 的 服务 器 
名 或 卫 地 址 。 在 lookup-value 之 前 ， 可 能 包括 如 下 面 指定 的 其 他 选项 ， 每 个 选项 名 都 
有 一 条 横 线 作为 前 级 (例如 -timeout =5), nslookup 的 交互 模式 可 如 下 触发 ， 输 入 不 
带 参 数 的 nslookup ， 或 输入 nslookup ， 后 跟 一 条 横 线 、 空 格 和 名 字 服 务 器 主机 名 或 IP 
地 址 ， 如 

nslookup — 172. 18. 71. 105 

交互 式 模式 支持 输入 命令 ， 形 成 查询 并 执行 查询 。 可 使 用 如 下 交互 式 模 式 命令 。 

1) host [nameserver] (主机 [ 名字 服 务 右 ]) : 在 指定 nameserver 或 默认 服务 器 
上 查找 host。 这 类 似 于 上 面 描述 的 命令 行 格式 。 

2) server domain: 使 用 当前 [默认 的 ] 服务 器 查找 domain， 将 默认 服务 器 更 改 
为 domain 的 权威 服务 器 或 domain 字段 中 指定 的 IP 地 址 。 

3) lserver domain; 使 用 当前 [默认 的 ] 服务 器 查找 domain， 将 当前 服务 器 更 改 
为 domain 的 权威 服务 器 或 domain 字段 中 指定 的 IP 地 址 。 

4) exit (退出 ) : 退出 交互 式 模式 。 

5) set option [ =value]; 为 影响 查找 行为 ， 设 置 选项 ; 通过 在 nslookup 命令 行 上 
的 选项 名 前 面 带 有 一 条 横 线 ， 也 可 在 非 交 互 式 模式 中 使 用 如 下 选项 。 

Dal: 显示 当前 选项 值 和 当前 【默认 ] 服务 器 和 主机 。 

@ class = value; 在 查询 内 设置 Qclass; 有 效 值 是 IN、CH、HS 或 ANY。 

3) [no] debug; debug 激活 所 有 响应 报 文 的 显示 ，nodebug 则 去 活 这 种 显示 。 

@ [no] d2; d2 打开 调试 ，nod2 关闭 调试 显示 。 

©) domain = name: 将 域 搜 索 列 表 设 定 为 域 name。 

© [no] search; search 配置 使 用 域 搜 索 解 析 器 配置 ， 将 这 样 的 域 附加 到 至 少 有 
一 个 点 (dot) 的 不 完全 合格 的 搜索 之 后 。nosearch 去 活 使 用 这 个 搜索 列表 。 

D port = value: 将 TCP/UDP 端口 号 设置 为 value; 默认 为 53。 

querytype = value: 将 Qtype 设置 为 到 要 查询 的 一 个 资源 记录 类 型 。 

© type = value; 与 querytype 相同 。 

W [no] recurse: recurse 发 出 一 条 递归 查询 ，norecurse 不 发 出 这 样 的 查询 。 

D retry = number: 设置 查询 重 试 的 次 数 (number) 。 

D timeout = seconds: 设置 等 待 一 条 应 答 的 秒 数 (seconds) 。 

B [no] ve; ve 456 nslookup {Ë TCP, nove 使 用 UDP。 

@ [no] fail: 如 果 接 收 到 一 个 SERVFAIL 或 一 个 转 荐 (referral), ， 则 nofail 将 
nslookup 设置 为 尝试 下 一 台 名 字 服 务 器 ，fail 不 尝试 下 一 台 服 务 右 。 

域 信息 探索 器 。dig." 支持 使 用 标准 DNS 消息 形成 一 条 DNS 查询 ， 它 模拟 一 个 解 
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析 器 或 递归 服务 器 。dig 提供 了 可 被 发 送 到 一 台 DNS 服务 器 的 一 条 查询 的 格式 的 粒度 
控制 ， 目 的 是 分 析 得 到 的 响应 。 

dig 命令 的 一 个 常见 范例 用 途 ， 简 单 地 请 求 对 一 个 主机 名 的 解析 : 

dig @ nsl. ipamworldwide. com A ftp-sf. ipamworldwide. com 

这 个 范例 将 导致 对 ftp-sf. ipamworldwide. com 的 一 条 A 记录 查询 发 送 到 DNS 服务 
4s nsl. ipamworldwide. com, dig 工具 有 效 的 可 能 参数 包括 以 下 内 容 。 

1) @ server; 其 中 server 是 DNS 服务 器 的 域名 或 IP 地 址 ， 要 向 该 服务 器 发 出 查 
询 。 如 果 没 有 指定 这 个 参数 ， 则 dig 将 查询 在 客户 端的 解析 器 配置 中 列 出 的 DNS 服 
FF Ait 

2) -b address; 将 查询 的 源 IP 地 址 设 定 为 address。 对 于 测试 ACL 或 视图 而 言 ， 
这 是 有 用 的 。 

3) -c class: 要 查询 的 DNS 资源 记录 的 类 ; 默认 为 因特网 (Internet) 。 

4) -f filename: 支持 发 出 连续 查询 ， 按 照 在 指定 filename 中 列 出 的 情况 ， 即 一 
条 查询 一 行 。 就 像 您 让 一 条 dig 命令 格式 化 给 定 查询 一 样 ， 对 文件 的 每 行进 行 格 式 化 
(不 需要 在 每 行 都 指定 “dig”) 。 这 有 利于 在 一 步 中 自动 化 地 测试 一 组 关键 性 的 解析 。 
不 要 忘记 老板 心爱 的 解析 。 

5) -k filename; 对 查询 签名 ， 并 使 用 TSIG 验证 响应 签名 ，TSIG KEE filename 
中 指定 的 事务 签名 。TSIG 密 钥 必须 与 DNS 服务 器 的 named. conf 配置 中 定义 的 密 钥 
匹配 。 

6) -pport: 指定 用 于 查询 的 目的 地 UDP (或 TCP) 端口 ; 如果 没有 指定 ， 则 使 
用 默认 DNS 端口 53。 

7) -qname; 显 式 地 识别 在 查询 中 要 用 的 属 主 name, mE “bare” (直接 
的 、 裸 的 ) name 参数 。 即 dig - q sf-fipl = dig sf-ftpl。 

8) -ttype: 显 式 地 识别 要 使 用 的 查询 类 型 ， 而 不 使 用 “bare”( 直接 的 、 裸 的 ) 
type 参数 。 除 非 指 定 -x， 否 则 默认 类 型 是 “A”， 指 明 一 次 PTR 查找 。 

9) -x address; 为 指定 的 address， 确 定 一 个 PTR 查找 。 这 个 选项 支持 输入 一 个 
IPv4 地 址 或 IPv6 地 址 ， 但 如 果 和 类 型 PTR 使 用 -t+， 则 和 名 字 必 须 格式 化 为 一 个 arpa. 
名 字 。 

10) -y [hmac:] name; key; 指定 一 个 显 式 的 TSIG 密 钥 (而 不 是 使 用 -k 选项 
引用 一 个 文件 ) hma 字段 指明 密 钥 算法 ， 默 认为 HMAC-MD5 name 字段 是 TSIG 密 
SHY, key 是 密 钥 本 身 。 当 使 用 -y 选项 时 ， 应 该 小 心 谨慎 ， 原 因 是 可 从 输出 或 命令 外 
过 历史 中 看 到 密 钥 。TSIG 密 钥 必须 匹配 DNS 服务 器 的 named. conf 配置 中 定义 的 

11) -4: 使 用 IPv4 传输 发 送 查 询 。 

12) -6: 使 用 IPv6 传输 发 送 查 询 。 

13) name; 要 查询 的 属 主 名 。dig 支持 国际 化 的 域名 (IDN)， 所 以 可 指定 非 
ASCII 名 字 。 

14) type: 在 查询 中 要 查询 的 查询 类 型 。 默 认 类 型 为 A。 
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15) class; 要 查询 的 资源 记录 类 。 默 认 类 为 因特网 。 

16) -h: 打印 命令 的 帮助 摘要 ; WE dig 命令 没有 指定 参数 ， 则 提供 帮助 摘要 。 

17) 查询 选项 : dig 提供 了 许多 选项 ， 可 指派 带 有 包括 或 显 式 排除 的 查询 特征 。 
加 号 (+) 被 用 来 指明 每 个 选项 ，no 关键 字 指 明 不 使 用 指定 的 特征 。 就 像 在 确认 中 
输入 的 那样 (没有 no 关键 字 )， 写 上 每 个 选项 的 描述 。 注 意 在 可 选 的 no 关键 字 和 选 
项 名 之 间 ， 在 这 个 列表 中 给 出 一 个 空格 (出 于 可 读 性 考虑 )。 但 是 ， 当 输入 相应 的 命 
令 时 ， 要 忽略 空格 ， 例 如 + notcp 指明 +tep 选项 的 相反 指令 ( 即 notecp) 。 

传输 选项 

1) +bufsize = bytes: 将 UDP 消息 缓冲 尺寸 设 定 为 bytes 个 字 节 ; 有 效 值 范围 从 0 
到 65，535。 

2) + [no] fail, 指令 dig 在 接收 到 一 个 SERVFAIL 结果 时 ， 不 要 尝试 下 一 台 候 
选 服务 器 。 这 是 dig 的 默认 行为 ， 这 与 解析 器 的 行为 相反 。 

3) + [no] ignore; 忽略 从 一 条 UDP 查询 得 到 的 任何 截 短 情 况 ; 正常 情况 下 ， 
这 样 的 一 个 UDP 截 短 场 景 将 导致 使 用 TCP 重新 发 送 该 请 求 〈 当 使 用 + noignore 时 出 
现 这 种 情况 ) ， 但 使 用 + ignore 设置 的 做 法 ， 就 指令 dig 不 要 使 用 TCP 重新 发 送 该 
查询 。 

4) + [no] tep: 使 用 TCP 进行 查询 ;默认 情况 下 ， 对 AXFR 或 IXFR 查询 使 用 
TCP， 对 所 有 其 他 查询 使 用 UDP. 

5) +time =time: 将 查询 超时 设置 为 time 秒 (默认 =5， 最 小 =1)。 

6) +tries=n: 设置 次 数 n， 在 没有 一 条 应 答 时 ， 将 发 送 一 条 UDP 查询 (默认 = 
3, 最 小 =1)。 

7) +retry=n: 设置 次 数 n， 在 没有 一 条 应 答 时 ， 在 第 一 次 查询 后 将 重 发 一 条 
UDP 查询 (默认 =2, 最 小 =1)。 更 清楚 地 说 ， 就 是 ，+ tries 指定 总 尝试 次 数 ， 而 
+ retry 指 定 在 初始 尝试 之 后 的 尝试 次 数 。 

8) + [no] ve: 使 用 TCP 进行 查询 (ve = 虚 电 路 ); 默认 情况 下 ， 对 AXFR 或 
IXFR 查询 使 用 TCP， 对 所 有 其 他 查询 使 用 UDP。 

解析 器 配置 重 写 (Am) 选项 

1) +domain = domainname: 将 域 搜 索 列表 排他 地 设置 为 指定 的 domainname, 

2) +ndots =m: 指定 名 字 中 要 有 的 点 数 ( 即 “.”) (m)， 如 此 才 被 认为 是 合格 
的 ; 即 ， 当 在 名 字 字 段 中 输入 较 少 的 点 数 时 ，dig 将 附加 上 在 域 中 指定 的 域名 或 解析 
器 配置 中 的 搜索 参数 。 

3) + [no] search, 支持 基于 解析 器 客户 端 指 定 的 搜索 列表 或 域 指令 (direc- 
tive) ， 进 行 域 搜索 列表 处 理 。 

4) + [no] defname: 废弃 不 用 一 一 等 价 于 + [no] search, 

5) + [no] showsearch: 显示 中 间 搜 索 结果 。 

DNS 首部 设置 选项 

1) + [no] aaonly: 在 查询 的 首部 中 设置 权威 答案 (AA) 比特， 指明 期 望 得 到 
一 个 权威 〈 非 缓存 的 ) 答案 。 
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2) + [no] aaflag: 等 价 于 + [no] aaonly。 

3) + [no] adflag: 在 查询 的 首部 中 设置 真实 的 数据 (AD) 比特。 这 个 选项 用 
来 提供 “完备 性 ”"， 虽然 它 并 没有 什么 意义 。 正 和 常情 况 下 ，AD 比特 由 一 台 服 务 器 设 
置 ， 指 明 查 询 响应 数据 已 经 通过 DNSSEC 核验 得 到 验证 。 

4) + [no] cdflag: 在 查询 的 首部 中 设置 检查 去 活 (CD) 比特 ， 指 令 被 查询 的 
DNS 服务 器 去 活 这 条 查询 的 DNSSEC 签名 核验 功能 。 

5) + [no] dnssec: 在 EDNSO OPT 记录 中 设置 DNSSEC OK (DO) 比特 ， 指 明 
期 望 进行 DNSSEC 处 理 。 

6) +edns=version: 将 EDNS 版 本 设置 为 version。 

7) +noedns: 清除 以 +edns 设置 的 EDNS version, 

8) + [no] recurse: 在 查询 的 首部 中 设置 期 望 使 用 递归 (RD) 比特 。 除 非 指定 
+ nssearch 或 +trace 选项 ， 否 则 dig 查询 默认 地 设置 RD 比特 ， 请 求 递归 查询 。 

输出 选项 

1) + [no] all; 以 默认 格式 显示 结果 ; 设置 + noall 会 抑制 所 有 结果 。 

2) + [no] cmd: 显示 dig 输出 的 第 一 行 ， 该 行 指 明 dig 的 版 本 和 所 施用 的 查询 
选项 。 默 认 地 显示 这 一 行 。 
3) + [no] comments; 正常 情况 下 ，dig 显示 以 DNS 消息 格式 组 织 好 的 结果 ， 按 
照 首 部 、 问 题 节 、 答 案 节 、 权 威 节 和 附加 节 的 顺序 进行 组 织 。 应 答 的 这 些 “ 节 ”和 
空 行 ， 被 认为 是 输出 中 的 注释 ， 目 的 是 提升 可 读 性 。 设 置 + nocomments 会 抑制 输出 中 
的 这 些 行 。 输 出 将 仍然 包含 查询 时 间 、 服 务 器 、 时 间 戳 和 消息 尺寸 ， 虽 然 这 些 也 可 使 
用 + nostats 进行 抑制 。 

4) + [no] identify; 当 与 + short 一 起 使 用 时 ， 也 显示 DNS 服务 器 (提供 每 个 答 
案 ) 的 卫 地 址 和 端口 号 。 

5) + [no] multiline; 以 多 行 格式 显示 复杂 的 资源 记录 (例如 SOA); 默认 情况 
下 ， 是 在 单行 上 显示 一 条 记录 。 

6) + [no] nssearch; 显示 在 name 字段 (或 -n 参数 ) 中 所 指定 域 权威 服务 器 的 
SOA 记录 。 

7) + [no] short; 显示 一 个 简洁 的 答案 。 例 如 ， 当 发 出 查找 一 个 给 定名 字 的 一 
条 A 查询 时 ， 仅 显示 所 解析 得 到 的 耳 地 址 〈 可 能 有 多 个 地 址 ) 。 

8) + [no] stats; 显示 查询 时 间 、 做 出 响应 的 名 字 服 务 器 、 时 间 惟 和 消息 尺寸。 

9) + [no] trace: 针对 所 查询 的 名 字 ， 显示 从 根 服务 器 到 权威 名 字 服 务 器 的 
委派 路 径 。dig 将 向 沿 委派 路 径 向 下 的 每 台 服 务 器 发 出 迭代 式 查 询 ， 显 示 沿 路 来 自 
每 台 服 务 顺 的 答案 。 在 识别 域 树 中 有 缺陷 的 〈 断 开 的 ) 委派 过 程 中 ， 这 是 非常 有 
用 的 。 

DNS 消息 选项 

1) + [no] additional; 显示 响应 的 附加 节 (默认 情况 下 ， 显 示 附 加 节 内 容 )。 

2) + [no] answer: 显示 响应 的 答案 节 (默认 情况 下 ， 显 示 答 案 节 内 容 ) 。 

3) + [no] authority; 显示 响应 的 权威 节 (默认 情况 下 ， 显 示 权 威 节 内 容 )。 
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4) + [no] besteffor: 显示 错误 形式 之 消息 的 内 容 (默认 情况 下 ， 不 显示 错误 形 
式 的 响应 ) 。 

5) + [no] cl: 显示 这 条 查询 的 dig 结果 的 资源 记录 类 。 

6) + [no] nsid: 包括 EDNS NSID 请 求 选项 ， 目 的 是 从 服务 器 处 请 求 名 字 服 务 
器 的 身份 。 

7) + [no] qr: 当 将 查询 发 送 到 DNS 服务 器 时 ， 显 示 该 查询 ， 默 认 情 况 下 是 按 
照 首部 和 问题 字段 进行 组 织 的 。 

8) + [no] question; 显示 响应 的 问题 节 (默认 情况 下 ， 显 示 问 题 节 内 容 )。 

9) + [no] ttid: 显示 这 条 查询 的 dig 结果 的 资源 记录 TTL, 

DNSSEC 签名 核验 

1) + [no] sigchase: 寻找 DNSSEC 签名 链 ; 要 求 dig 编译 时 使 用 -DDIG_ SIG- 
CHASE 开关 项 

2) +trusted-key = filename; 识别 包含 信任 密 钥 的 一 个 fename (文件 名 ) ， 要 与 
+ sigchase 一 起 使 用 ， 要 求 dig 编译 时 使 用 -DDIG_ SIGCHASE 开关 项 

3) + [no] topdown: 当 查 找 DNSSEC 签名 链 与 + sigchase 一 起 使 用 时 ， 实 施 自 
顶 向 下 的 核验 ; 要 求 dig 编译 时 使 用 -DDIG_ SIGCHASE 开关 项 

BIND 9 的 dig 工具 允许 在 单一 命令 行 上 输入 多 条 查询 ， 方 法 是 简单 地 串 接 后 续 查 
询 的 名 字 - 类 型 -参数 -选项 字符 串 。 例 如 ,下面 形象 地 说 明了 运行 针对 卫 地 址 
10. 0. 3. 43 PTR 查找 的 查询 ， 包 括 显 示 该 查询 ， 同 时 带 有 一 条 查找 “ftp” 的 CNAME 
查询 ， 还 要 将 解析 器 域 后 绥 设 置 为 ipamworldwide. com, 

dig - x 10. 0.3.43 + qr ftp CNAME + domain = ipamworldwide. com 

(3) DHCP 排 错 。 可 使 用 DHCP 客户 端 能 力 ， 例 如 Windows 的 ipconfig, BK Unix 
或 Linux 的 ifconfig 命令 ， 来 实施 测试 DHCP 事务 。 这 些 命令 提供 实施 DHCP 释放 、 刷 
新 和 设置 用 户 类 的 能 力 。 例 如 ， 在 一 个 微软 Windows 上 使 用 ipconfig 命令 行 ， 支 持 使 
用 如 下 参数 显示 IP 配置 : 

1) /all: 针对 每 个 接口 显示 IP 配置 信息 ， 包 括 以 下 内 容 。 

Q IPv4 地 址 和 子 网 掩 码 。 

© Hef IP 地 址 ， 包括 IPv6 地 址 。 

@ MAC 地 址 (可 能 有 多 个 )。 

@ 接口 描述 。 

@ DNS 域 后 级 。 

© 默认 网 关 。 

D DHCP 服务 器 ， 从 之 得 到 地 址 租赁 ， 还 要 得 到 该 租赁 的 日 期 /时 间 以 及 超期 的 
日 期 /时 间 。 

用 于 解析 器 配置 的 DNS 服务 器 。 

© 为 进行 NetBIOS 查找 ， 要 查询 的 WINS 服务 器 ( 如果 配置 了 的 话 )。 

2) 如 果 忽 略 /all 参数 ， 则 仅 显 示 IP 地 址 、 子 网 掩 码 、 域 后 级 和 默认 网 关 。 

3) /?: 以 命令 摘要 的 形式 ， 显 示 帮 助 (help). 
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4) /displaydns; 显示 解析 器 缓存 的 内 容 。 

5) /showclassid adapter: 显示 为 指定 接口 适配器 所 配置 的 用 户 类 。 

ipconfig 也 提供 如 下 命令 。 

1) /release [ adapter]; 发 出 一 条 DHCPRELEASE ， 释 放 所 有 或 指定 接口 适配器 的 
地 址 租赁 。 

2) /renew [adapter]: 发 出 一 条 DHCPRENEW， 刷新 所 有 地 址 租赁 或 指定 接口 适 
配器 的 地 址 租赁 。 

3) /registerdns; 发 出 一 条 DHCPRENEW, 刷新 所 有 地 址 租赁 ,并 直接 更 新 DNS 
A 记录 (可 能 有 多 个 ) (客户 端 发 送 到 DNS 服务 器 的 ， 而 不 是 DHCP 服务 器 到 
DNS 的 )。 

4) /flushdns: 清除 解析 器 缓存 。 

5) /setclassid adapter class; 针对 指定 的 接口 适配器 ， 设 置 用 户 类 名 。 


14.5 记 账 管理 


基本 上 而 言 ， 记 账 的 意图 是 使 每 个 人 保持 诚实 。 那 些 被 指派 的 地 址 仍然 在 使 用 
吗 ? 任何 没有 被 指派 的 地 址 实际 上 在 被 人 使 用 吗 ? 新 子 网 在 路 由 器 上 还 没有 被 准备 好 
可 以 提供 吗 ? 因此 记 账 管理 支持 成 功 配 置 的 验证 ， 以 及 严格 遵守 P 编 址 规划 。 记 账 
管理 功能 的 各 项 技术 ,包括 IP 地 址 、 路 由 器 子 网 、 交 换 机 端口 映射 、DNS 资源 记录 
和 DHCP 租赁 文件 等 的 发 现 分 析 。 

被 发 现 信息 的 分 析 是 必要 的 ， 目 的 是 将 这 个 信息 与 IP 清单 “记录 规划 ”进行 比 
较 。 这 项 差异 报告 和 比较 过 程 是 困难 的 工作 ,但 却 提 供 了 一 定 程度 的 清单 准确 性 保 
障 。 如 果 没 有 这 项 功能 ， 无 赖 用 户 会 免费 地 访问 服务 ， 或 渗透 到 网 络 之 中 。 另 外 ， 规 
划 的 网 络 变更 还 没有 实现 的 话 ， 则 可 导致 下 游 处 理 延 迟 ， 以 及 服务 准备 提供 间隔 上 的 
内 部 或 外 部 服务 水 平 协议 的 违规 。 


14. 5.1 确保 清单 准确 


到 此 为 止 我 们 所 讲 到 的 每 项 常见 的 卫 管理 任务 ， 都 依赖 于 准确 的 IP 地 址 清单 ， 

来 文 持 地 址 块 、 子 网 、 卫 地 址 等 的 分 配 、 删 除 和 移动 ， 以 及 DHCP 和 DNS 服务 器 配 
置 。 对 于 这 些 地 址 管理 任务 而 言 ， 准 确 性 是 绝对 必要 的 。 但 是 对 于 通常 的 排 错 而 言 ， 
准确 的 清单 信息 也 同样 是 必 不 可 少 的 。 如 果 由 于 一 次 网 络 中 断 导致 一 个 远程 站 点 不 可 
达 ， 则 为 在 该 站 点 处 的 各 设备 识别 卫 地 址 、 资 源 记 录 或 其 他 IPAM 有 关 数 据 ， 就 是 必 
要 的 。 当 最 需要 这 样 的 信息 以 及 不 能 直接 从 网 络 得 到 这 样 的 信息 时 ， 仅 有 维护 一 个 准 
确 的 IP 清单 ， 才 能 保证 得 到 这 样 的 信息 。 
在 本 节 ， 我 们 将 回顾 这 样 的 步 又， 您 可 用 来 确保 卫 清 单 的 准确 性 。 这 包括 控 甫 
由 谁 对 某 些 IPAM 信息 做 出 某 些 改变 ， 发 现实 际 的 网 络 数 据 ， 将 实际 数据 与 清单 保持 
一 致 ， 并 最 终 回收 地 址 空间 。 

(1) 变更 控制 和 管理 员 责任 。 在 回顾 这 些 IP 管理 任务 中 如 我 们 所 看 到 的 ，IP 清 
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单 中 的 一 次 变更 经 常会 影响 其 他 网 元 ， 包 括 路 由 器 以 及 DHCP 和 DNS 服务 器 。 如 果 
不 同人 或 团队 管理 着 这 些 不 同 的 单元 ， 那 么 周期 性 地 召开 规划 或 变更 控制 会 议 ,或 依 
据 需 要 来 回顾 和 调度 近期 规划 的 寻 址 变更 ， 就 是 一 种 好 的 思路 。 对 这 个 过 程 要 添加 某 
种 纪律 性 ， 要 稍稍 严格 一 些 ， 并 使 那些 可 能 被 变更 所 影响 的 信息 或 设备 处 在 控 种 
之 内 。 

有 助 于 确保 IP 清单 本 身 准确 性 的 一 种 方式 ， 是 限制 如 下 人 员 对 清单 的 写 访问 ， 
这 些 人 员 是 IP 寻 址 规划 的 权威 ， 并 相当 了 解 该 规划 。 使 用 单一 口令 保护 的 表格 A 
有 卫 规 划 人 员 可 修改 ) ， 是 保护 IP 清单 不 被 玻 忽 的 或 错误 的 变更 所 修改 的 一 种 方法 。 
但 是 ， 即 使 对 于 中 等 规模 的 组 织 机 构 而 言 ， 这 种 方法 也 是 不 可 行 的 。 如 果 组 织 机 构 依 
赖 于 单个 人 进行 整个 IP 地 址 规划 ， 那 么 这 个 人 必须 不 停 软 地 工作 ， 如 果 他 或 她 离开 
该 组 织 机 构 ， 那 么 恢复 对 清单 的 访问 可 能 是 非常 困难 的 ， 除非 提前 培训 一 名 接替 
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并 行 支 持 多 名 管理 人 员 是 市 场 上 多 数 IPAM 系统 的 一 项 关键 功能 ， 且 多 数 系统 运 
行 某 种 程度 的 范围 控制 ， 从 而 使 某 些 管理 员 仪 能 在 某 些 设备 上 或 网 络 的 某 些 部 分 实施 
某 些 功能 。 确 保 您 所 选中 的 系统 支持 管理 员 日 志 记 录 ， 这 是 预防 如 下 情况 ， 您 需要 查 
出 在 系统 上 “ 谁 做 了 什么 ”操作 。 
和 约束 对 IP 清单 的 多 名 管理 员 受 限 范 围 访 问 一 样 重要 的 是 委派 职责 ， 对 IP 地址 
指派 、DNS 资源 记录 、 子 网 地 址 等 的 任意 变更 ， 可 在 IP 清单 范围 之 外 进行 。 例 如 ， 
人 工 配 置 可 能 会 输入 错误 ， 子 网 可 能 被 配置 在 错误 的 路 由 器 接口 上 ， 以 及 对 DNS 的 
客户 端 或 DHCP 更 新 ， 都 可 能 导致 IP 清单 偏离 真实 情况 。IP 清单 是 IP 地 址 规划 的 一 
个 模型 ，IPAM 任务 依赖 于 规划 的 准确 性 。 因 此 ， 要 从 IP 网 络 进行 “规律 性 地 读 取 数 
据 ” 时 ， 就 是 明智 之 举 。 周 期 性 地 轮 询 并 将 网 络 上 的 实际 指派 与 清单 进行 比较 ， 是 
确保 清单 准确 的 关键 。 

(2) 网 络 发 现 。 有 各 种 方法 可 用 来 采集 网 络 真实 数据 ， 从 ping 到 DNS 查找 到 
SNMP 轮 询 。pinging 支持 一 个 IP 地 址 占有 情况 的 检测 ， 并 提供 哪些 地 址 正在 被 用 
(与 卫 清 单 的 相应 部 分 进行 比较 ) 的 一 种 基本 方法 。ping 是 非常 有 用 的 ， 但 要 知道 ， 
一 些 路 由 需 或 防火 墙 将 丢弃 ping 报 文 ， 或 其 至 一 些 设备 可 被 配置 成 忽略 ping。 将 远程 
ping 代理 设置 为 依据 命令 实施 局 部 的 pinging， 这 种 做 法 可 帮助 绕 开 路 由 器 /防火 墙 穿 
越 问题 。 

可 在 insecure. org/nmap 免费 得 到 的 nmap， 是 以 合适 代价 可 得 到 的 一 个 特别 有 用 
的 工具 。 它 组 合 了 几 种 发 现 机 制 ， 用 来 从 连接 到 IP 网 络 的 设备 处 采集 各 种 信息 ， 这 
几 种 机 制 包 括 ping 扫荡 (sweep), DNS 查找 和 端口 扫描 。 当 扫荡 一 个 子 网 时 ，nmap 
可 在 一 条 命令 中 实施 这 些 任务 ， 向 每 个 地 址 发 出 一 条 ping, Æ DNS 中 查找 一 条 相应 
的 PTR 记录 ， 并 尝试 连接 到 各 个 TCP 和 UDP 端口 ， 以 便 识别 设备 的 操作 系统 。 从 一 
个 IPAM 视角 看 ，ping 结果 有 助 于 识别 IP 地 址 占有 情况 ，DNS 查找 帮助 确认 核实 DNS 
服务 器 和 了 清单 之 间 主 机 名 到 IP 地 址 的 映射 情况 ， 端 口 扫描 可 提供 占有 每 个 IP 地 址 
之 设备 类 型 的 其 他 信息 。 
SNMP 是 发 现 IP 清单 有 关 信 息 的 另 一 种 方法 。 多 数 端 设备 ( 如 笔记 本 计算 机 或 
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VoIP 电话 ) 本 地 并 不 支持 SNMP， 而 多 数 基 础 设施 单元 (如 路 由 器 、 交 换 机 和 服务 
fir) 却 支 持 SNMP。 在 路 由 器 MIB 内 人 们 特别 关注 的 是 Interfaces (接口 ) IpAddress- 
es (IP HHE) 和 Ar 表 。 如 果 您 的 基础 设施 设备 支持 MIB- 工 ， 那 么 在 不 同 产 品 间 这 些 
表 的 解释 应 该 是 一 致 的 。 即 使 在 来 自 同一 厂商 的 不 同 产 品 间 ， 也 要 了 解 微小 差异 。 在 
这 些 表 中 的 信息 ， 支 持 接口 和 子 网 (每 个 接口 所 提供 的 ) 的 信息 收集 ， 是 由 路 由 器 
报告 的 。 一 般 来 说 ， 这 提供 了 清单 的 有 用 核验 方法 ， 但 也 可 在 地 址 块 和 子 网 的 分 配 、 
移动 或 删除 过 程 中 进行 轮 询 。 

轮 询 路 由 器 的 ARP 缓存 表 ， 可 提供 在 最 近 的 子 网 通信 上 MAC 地 址 到 IP 地 址 的 
一 种 确定 映射 关系 。 即 使 一 台 设 备 拒 绝对 一 条 ping 做 出 响应 ， 但 也 一 定 可 以 使 用 地 
址 解析 协议 (ARP) 形成 一 个 层 2 (例如 以 太 网 ) 帧 ， 在 该 帧 内 封装 预期 包括 的 了 
报 文 。 正 如 这 是 被 缓存 的 信息 这 个 事实 所 蕴含 的 ， 它 是 临时 性 的 ， 并 必须 频繁 地 加 以 
轮 询 。 

考虑 到 在 一 个 /64 子 网 上 有 2“ 个 可 能 IP 地 址 的 庞大 规模 ， 所 以 要 pinging 一 个 
IPv6 子 网 是 不 现实 的 。 轮 询 一 个 路 由 右 的 邻居 发 现 表 ， 例 如 ipv6NetToMedia SNMP 
MIB ， 是 实施 IPv6 主机 发 现 的 一 种 更 加 有 效 的 方法 。 

(3) IP 清单 一 致 性 检查 ( reconciliation ) 。 网 络 发 现 信息 ， 提 供 了 对 实际 的 子 网 
分 配 、IP 地 址 指派 和 相关 联 的 资源 记录 等 的 真实 检查 。 通 过 将 发 现 的 信息 与 IP 清单 
数据 库 相 比较 ， 就 可 识别 并 调查 差异 。 虽 然 这 种 比较 会 要 求 “ 仔 细 检 查 ” (eye- 
balling) 清单 表格 和 发 现 输出 之 间 的 差异 ， 但 出 于 几 个 原因 ,证 明 这 种 付出 是 有 次 
的 。 例 如 ， 可 以 识别 数据 库 差 异 ， 可 能 是 如 下 几 方 面 导致 的 : 

1) 不 正确 的 路 由 器 信息 提供 。 不 正确 的 子 网 、 掩 码 、 路 由 器 接口 等 。 

2) 不 完全 的 路 由 器 信息 提供 。 规 划 的 变更 还 没有 实现 。 

3) 设备 可 达 性 问题 。 如 果 一 台 设 备 应 该 处 在 一 个 给 定 IP 地 址 上 ,但 没有 接收 到 
响应 。 这 可 能 源 于 一 次 设备 中 断 、 一 次 临时 的 中 断 (重启 )、 地 址 重新 指派 或 网 络 不 
可 达 。 

4) 不 正确 的 卫 地 址 指派 。 人 工 配 置 的 地 址 是 不 正确 的 ， 或 设备 从 一 个 没有 预料 
到 地 址 池 或 地 址 处 得 到 一 个 DHCP 地 址 。 这 个 问题 特别 适用 于 人 工 指派 的 地 址 ， 其 中 
配置 指派 的 IP 地 址 、 检 测 自动 配置 的 设备 和 更 新 DNS 时 需要 人 工 介 入 。 

5) 实际 的 全 地 址 指派 。 对 于 自动 配置 的 设备 ，IP 地 址 是 由 设备 选择 的 。 同 样 在 
一 些 去 中 心 化 场景 中 ， 子 网 上 一 台 设 备 的 安装 人 员 (installer) 可 选择 一 个 JP 地 址 。 
对 于 这 些 情 形 ， 可 使 用 发 现 功能 来 更 新 卫 清单 。 

6) 信息 不 全 的 IP 地 址 指派 。 无 论 是 人 工 指派 还 是 DHCP 指派 过 程 ， 指 派 过 程 的 
所 有 方面 都 是 信息 不 全 的 。 这 个 问题 特别 适用 于 人 工 指 派 的 地 址 ， 其 中 配置 指派 的 
IP 地 址 、 检 测 自 动 配置 的 设备 和 更 新 DNS 时 都 需要 人 工 介 入 。 

7) 存在 流 谍 设 备 。 一 个 未 知 的 或 未 被 授权 的 设备 已 经 得 到 一 个 耳 地 址 。 这 提供 
了 一 种 有 效 的 访问 后 (post-access) 控制 机 制 ， 用 来 弥补 和 审计 一 种 网 络 访问 控制 解 
决 方案 。 

除了 检测 差异 外 ， 分 析 发 现 信 息 ， 可 确认 分 配 或 指派 任务 以 及 删除 任务 的 完成 。 
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当 移 动 地 址 块 、 子 网 和 耳 地 址 时 ， 发 现 数据 是 必 不 可 少 的 。 因 为 移动 要 求 分 配 新 地 
址 〈 可 能 有 多 个 ) 、 移 动 ， 之 后 是 删除 旧地 址 〈 可 能 有 多 个 ) ， 所 以 在 从 IP 清单 中 删 
除 旧 地 址 (可 能 有 多 个 ) 之 前 ， 确 认 移 动 的 完成 就 是 至 关 重 要 的 。 在 移动 完成 之 前 ， 
这 些 地 址 不 应 该 被 删除 ， 从 而 在 它们 实际 被 删除 之 前 ， 使 它们 不 会 被 未 知 地 重新 指派 
给 其 他 设备 或 子 网 。 

总 之 ， 对 于 确保 IP 清单 的 准确 性 而 言 ， 网 络 发 现 是 至 关 重 要 的 。 对 于 监测 信息 
准备 提供 或 指派 进度 和 时 间 帧 、 管 理 要 求 多 个 有 关子 任务 的 任务 完成 以 及 检测 不 正确 
的 指派 和 潜在 的 流 诺 设 备 ， 网 络 发 现 也 是 有 益 的 。 


14.5.2 地址 回收 


上 面 所 讨论 网 络 发 现 和 一 致 性 检查 的 另 一 项 益处 是 ， 设 备 可 达 性 检测 问题 。 如 果 
一 台 设 备 已 经 准备 就 绕 ， 并 在 一 个 给 定 IP 地 址 上 过 去 是 做 出 响应 的 ， 但 现在 不 再 做 
出 响应 ， 这 样 的 一 个 事件 应 该 促 发 进一步 的 调查 。 如 果 没 有 计划 移动 或 拆除 该 设备 ， 
或 出 现 该 子 网 上 其 他 设备 不 存在 网 络 问题 ， 那 么 该 设备 可 能 遇 到 了 一 次 中 断 ， 可 能 
在 重新 启动 ， 可 能 被 移动 或 断 开 了 ， 或 可 能 已 经 被 重新 编 址 。 如 果 该 服务 器 正在 提供 
关键 性 的 服务 或 应 用 ， 和 希望 的 情况 是 ， 您 正在 通过 一 个 网 络 管理 系统 ”监测 它 的 状 
态 ， 这 种 系统 可 证 实 停机 推测 ， 并 触发 正确 的 动作 。 如 果 在 下 一 次 尝试 中 发 现 了 该 
IP 地 址 ， 也 许 它 只 是 简单 地 重新 启动 。 如 果 在 接 下 来 的 n 次 尝试 中 ， 它 都 没有 做 出 
响应 ， 也 许 它 物理 上 已 经 不 再 处 在 那儿 了 (或 至 少 从 电气 角度 已 经 不 在 那儿 )。 不 到 
的 是 ， 人 们 并 不 总 是 会 通知 卫 规划 团队 ， 一 台 设 备 已 经 被 拆除 或 移动 到 了 其 他 地 方 ， 
即使 在 最 严格 的 组 织 机 构 中 也 是 如 此 。 一 个 快速 的 电话 打 到 站 点 ， 检 查 该 设备 的 状 
态 ， 这 种 做 法 可 能 证 明 是 成 果 显 著 的， 但 要 确定 设备 的 “主人 ”来 验证 状态 的 过 程 ， 
经 党 是 困难 的 和 耗 时 的 。 

不 过 ,评估 该 设备 可 能 命运 的 关键 点 是 ， 可 能 需要 多 次 发 现 尝 试 ， 来 确定 一 台 设 
备 是 在 那里 还 是 已 经 不 再 了 ， 是 遇 到 了 一 次 临时 停机 或 断 开 ， 或 被 借 走 了 但 现在 已 经 
还 回来 了 。 跟 踪 连 续 发 生 的 发 现 尝试 可 能 是 困难 的 。 一 个 运行 日 志 或 表格 可 被 用 来 对 
差异 或 “消失 的 ”IP 地 址 ( 当 它 们 被 检测 到 [或 不 被 检测 到 ] 时 ) 作 日 志 记 录 。 随 
时 间 不 同 ， 检 查 这 个 日 志 ， 可 帮助 确定 被 记录 为 在 使 用 的 一 个 卫 地 址 实际 上 并 没有 
被 使 用 的 情况 。 

在 检查 这 样 的 一 个 日 志 时 ， 如 果 一 个 给 定 IP 地 址 直到 一 个 月 前 ， 还 被 成 功 发 现 ， 
当时 它 是 可 达 的 ,但 在 如 此 多 的 尝试 (比如 30 次 ) 之 后 , 不 可 达 了 ， 则 可 确认 该 地 
址 可 用 于 未 来 的 指派 ， 或 确认 它 是 可 回收 的 。 回 收 的 概念 涉及 识别 由 地 址 , AE IP y 
单 中 被 表示 为 正在 使 用 ， 但 事实 上 没有 被 用 ， 或 在 最 近 过 去 没有 被 用 。 分 析 多 种 发 现 
结果 的 做 法 ， 提 供 了 一 种 比较 可 靠 的 样本 集合 ， 在 其 上 可 做 出 一 次 回收 决策 ， 本 质 上 
是 从 清单 中 删除 该 设备 ， 并 释放 地 址 ， 可 指派 给 男 一 台 设备 。 

除了 对 从 IP 清单 中 删除 一 台 设 备 提供 可 靠 确 认 外 ， 回 收 也 可 类 似 地 施用 于 子 网 。 


”或 如 果 该 服务 器 是 一 台 DHCP 或 DNS 服务 器 ， 则 可 通过 IP 管理 系统 进行 监测 。 
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当 删 除 一 个 子 网 时 ， 一 般 来 说 ， 建 议 验证 所 有 地 址 占用 都 被 删除 ， 并 在 该 子 网 上 不 再 
使 用 卫 地 址 ” 。 分 析 一 个 给 定子 网 上 来 自 所 有 地 址 的 发 现 结果 ， 可 提供 该 子 网 已 被 
除 的 确认 保障 。 但 像 耳 地址 回收 一 样 ， 多 个 样本 集合 可 提供 可 回收 处 理 的 更 可 靠 的 
确认 。 仪 需要 牢记 的 是 ， 在 一 个 子 网 上 您 将 很 罕见 地 看 不 到 响应 ， 至 少 在 一 个 路 由 融 
接口 上 仍然 配 有 地 址 ， 所 以 您 需要 检查 后 续 的 发 现 结果 ， 和 忽略 路 由 器 、 交 换 机 ， 也 许 
还 有 其 他 设备 类 型 。 


= 


14.6 性 能 管理 


性 能 管理 涉及 IP 管理 系统 功能 的 监测 ， 更 重要 的 是 ， 运 行 在 网 络 中 DHCP 和 DNS 
服务 器 的 监测 。 跟 踪 基 本 的 服务 器 统计 信息 ， 例 如 CPU 利用 率 、 内 存 、 磁 盘 和 网 络 接 
口 输入 /输出 〈IO) ， 是 有 用 的 。 这 样 的 监测 ， 使 跟踪 硬件 支持 运行 在 服务 器 上 DHCP 
和 DNS (和 任何 其 他 服务 ) 的 能 力 成 为 可 能 。 在 这 方面 的 趋势 分 析 ， 在 支持 未 来 硬件 
采购 的 先 验 规划 方面 也 是 有 益 的 ， 目 的 是 支持 在 多 台 服 务 器 间 的 负载 均衡 分 布 。 


14.6.1 服务 监测 


对 DNS 服务 的 监测 ， 有 助 于 确保 充分 的 DNS 能 力 来 满足 名 字 解 析 的 需求 ， 并 有 
助 于 识别 任何 意外 条 件 。BIND 支持 将 各 种 事件 类 型 灵活 地 记录 日 志 到 一 个 可 配置 的 
输出 目的 地 或 通道 ， 包 括 syslog, file, null BK stderr (操作 系统 的 标准 错误 输出 目的 
地 )。 微 软 支 持 DNS 服务 吉 事 件 查 看 器 ， 带 有 可 设置 的 严重 性 等 级 报告 以 及 接收 到 的 
总 查询 数 / 秒 和 发 送 的 响应 数 / 秒 等 统计 计数 。DHCP 服务 器 类 似 地 提供 监测 总 体 服务 
健康 程度 和 统计 的 日 志 记 录 ， 典 型 地 记录 到 一 个 日 志文 件 、syslog 或 一 个 事件 日 志 。 

这 些 措 施 支持 从 服务 器 视角 的 性 能 数据 收集 。 但 是 ， 这 些 措施 并 不 像 DHCP 客户 
端 和 DNS 解析 器 所 经 历 的 那样 传递 服务 性 能 。 测 量 客户 端 性 能 ， 要 求 远 程 发 出 一 条 
DNS 查询 或 DHCPDISCOVER (或 SOLICIT) 报 文 ， 并 测量 接收 到 一 条 正确 响应 的 响 
应 时 间 ?。 这 种 远程 发 出 报 文 的 做 法 ， 可 能 源 自 于 部 署 于 各 种 位 置 的 服务 探 针 
(probe) ， 可 产生 这 些 “ 合 成 的 事务 ”， 由 探 针 测量 并 存储 响应 时 间 结 果 。 对 来 自 不 
同 探 针 的 历史 数据 的 分 析 ， 可 提供 对 DNS/DHCP 服务 和 网 络 性 能 的 敏锐 理解 。 


14.6.2 地址 容量 管理 

UK IP 地 址 容量 监测 ， 是 IPAM 范围 内 另 一 项 关键 的 性 能 管理 功能 。 对 人 工 编 址 
设备 和 通过 DHCP 得 到 地 址 的 那些 设备 的 地 址 利用 率 ， 进 行 跟踪 ， 可 支持 地 址 空间 的 
先 验 管 理 。 地 址 管理 最 初 是 依据 估计 预测 的 ， 人 们 希望 它 是 准确 的 。 但 是 ， 即 使 在 预 
测 是 完美 情况 下 ， 由 于 雇员 调动 、 大 型 事件 、 订 户 增长 以 及 未 规划 的 地 址 需求 等 导致 


O ARER Ak IP 地 址 占用 ， 原 因 是 典型 情况 下 路 由 器 在 子 网 上 进行 自我 识别 。 
外” 如 在 故障 管理 节 所 提 到 的 ， 一 条 响应 的 缺 位 ， 可 能 表明 一 次 服务 停机 ， 如 果 持 续 出 现 这 种 情况 的 
话 ， 就 应 该 进行 调查 。 
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的 IP 网络 动态 性 ， 可 消耗 一 个 子 网 及 其 地 址 池 的 整个 容量 。 对 地 址 池 和 子 网 利用 率 
水 平 的 周期 性 监测 ， 以 及 历史 跟踪 和 趋势 分 析 ， 可 提供 容量 耗竭 的 预先 告警 ， 触 发 补 
偿 性 的 分 配 ， 以 便 在 容量 用 光 之 前 扩展 容量 。 

许多 DHCP 服务 器 产品 支持 对 地 址 租赁 水 平 进行 监测 ， 采 用 的 是 命令 行 、 脚 本 或 
SNMP 方法 。 微 软 DHCP 也 提供 通用 的 90% 告警 阀 值 ， 如 果 一 个 地 址 池 达 到 90% FE 
量 ， 就 提供 通知 。 其 他 服务 器 和 IP 管理 系统 提供 类 似 的 或 附加 的 告警 阔 值 定义 和 应 
用 。 由 一 个 全 管理 或 网 络 监测 系统 进行 通知 ， 通 和 常 比 起 尝试 访问 网 络 的 暴怒 顾客 或 
端 用 户 进行 通知 而 言 ， 要 好 得 多 。 


14. 6.3 审计 和 报告 


一 般 而 言 ， 多 数 管理 系统 提供 某 种 程度 的 “ 谁 在 做 什么 ”的 审计 和 不 同等 级 的 
报告 。 这 些 功能 ， 就 和 被 分 类 在 记 账 管理 之 下 一 样 容易 ， 使 管理 员 可 跟踪 并 排查 活 
动 ， 并 以 报告 形式 传递 状态 信息 。 当 对 一 个 网 络 问题 排 错 ， 或 调查 可 能 的 违规 活动 
时 ,对 TP 地 址 使 用 情况 的 审计 ( 即 谁 在 某 个 时 间 点 拥有 一 个 给 定 的 IP 地 址 ) ， 是 有 
价值 的 信息 。 类 似 地 ， 如 果 您 尝试 跟踪 一 台 给 定 设备 的 IP 地 址 占用 历史 ， 那么 按照 
硬件 地 址 进行 报告 也 是 有 益 的 。 

除非 对 于 最 小 型 的 网 络 ， 否 则 在 没有 一 个 IP 管理 系统 的 情况 下 ， 实 施 这 样 的 审 
计 可 能 是 困难 的 。 重 复 地 对 DHCP 租赁 数据 进行 导出 (dump) ， 以 便 跟 踊 随 时 间 消 失 
而 发 生 的 动态 编 址 客户 端的 做 法 ， 是 必要 的 。 对 一 个 给 定 IP 地 址 搜索 的 能 力 ， 要 求 
访问 单一 〈 或 者 采用 故障 切换 或 事实 上 分 割地 址 范围 的 话 ， 就 是 两 台 ) DHCP 服务 器 
的 地 址 租赁 历史 ， 而 依据 硬件 地 址 进行 搜索 ， 则 在 所 有 DHCP 服务 器 间 进 行 搜索 就 成 
为 必要 的 ， 这 里 假定 了 设备 是 能 够 移动 的 。 

对 IP 地 址 规划 有 用 的 常见 报告 包括 如 下 内 容 ， 虽然 您 的 系统 可 提供 不 同 的 或 附 
加 的 报告 。 

(1) 地 址 利用 率 报告 。 按 照 地 址 池 、 子 网 、 地 址 块 进行 报告 ， 是 按照 层次 结构 
逐 层 报告 的 。 

(2) 地 址 指派 报告 。 依 据 子 网 或 地 址 块 方式 ， 对 指派 地 址 的 摘要 ， 为 当前 快照 
和 /或 历史 情况 。 

(3) 地 址 差异 报告 。 重 点 突出 IP 清单 和 所 发 现 IP 地 址 信息 之 间 的 差异 。 

(4) DHCP 性 能 报告 。 依 据 类 型 的 DHCP 消息 的 摘要 和 细节 ， 和 /或 客户 端 和 服 
务 央 主要 的 指标 摘要 。 

(5) DNS 性 能 报告 。 依 据 类 型 、 查 询 器 、 问 题 等 的 摘要 和 细节 ， 以 及 服务 器 主 
要 指标 摘要 。 

(6) 审计 报告 。 依 据 子 网 、IP 地 址 、 硬 件 地 址 、 资 源 记 录 、 服 务 右 等 的 管理 员 
活动 。 
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14.7 安全 管理 


AS P 管理 厂商 已 经 尝试 加 入 “NAC” 事 业 , 使 人 规划 人 员 将 IP 地 址 指派 仅 限 
制 到 有 效 的 设备 或 用 户 ， 这 是 由 DHCP MAC 地 址 过 滤 或 用 户 登 录 确定 的 。 如 果 一 台 
设备 或 用 户 多 次 尝试 失败 ， 那 么 这 种 解决 方案 需要 提供 意外 报告 ， 理 想 情 况 下 提供 告 
警 。 一 次 失败 的 访问 答 试 可 能 归咎 于 错误 输入 ， 但 数 次 失败 可 能 表明 ， 一 名 攻击 者 正 
在 破解 系统 以 便 访 问 网 络 。 当 然 ， 如 果 该 攻击 者 知道 子 网 地 址 ， 他 /她 可 手工 地 配置 
一 个 下地 址 来 访问 网 络 ， 旁 路 掉 DHCP。 在 第 8 章 中 已 经 和 其 他 方法 一 起 ， 详 细 讨 论 
了 这 个 过 程 。 

第 8 章 、 第 12 章 和 第 13 章 分 别处 理 DHCP 和 DNS 服务 器 信息 的 安全 保障 以 及 与 
这 两 种 服务 器 的 事务 过 程 安全 保障 。 保 障 IP 清单 以 及 DHCP 和 DNS 配置 数据 的 安全 
也 是 重要 的 ， 原因 是 这 种 信息 是 至 关 重 要 的 ， 并 应 该 保护 它 使 之 不 受 蓄意 破坏 。 保 护 
IP 数据 ， 要 求 管 理 员 访 问 控 制 ， 至 少 要 支持 对 信息 的 口令 保护 访问 。 如 果 您 的 组 织 
机 构 有 两 个 或 三 个 以 上 的 管理 员 ， 那么 通过 使 用 一 个 人 P 管理 系统 ， 可 确保 使 用 一 种 
比较 复杂 的 管理 员 安 全 方法 。 多 数 系 统 采取 的 措施 远 不 止 最 低 限 度 的 口令 项 ， 它 们 支 
持 依 据 系统 功能 、 依 据 网 络 部 分 或 蘑 些 单元 、 依 据 访问 类 型 (比如 ) ， 将 管理 员 访 问 
限制 为 超级 用 户 、 只 读 访问 以 及 其 他 权限 。 访 问 控制 的 复杂 性 将 受到 管理 员 数 、 管 理 
员 的 角色 和 职责 以 及 组 织 机 构 的 安全 策略 的 驱动 和 影响 。 


14.8 灾难 恢复 /商务 持续 性 


商务 持续 性 实践 ， 在 面临 一 次 重大 的 停机 时 ， 寻 求 维护 企业 的 运作 。 一 次 大 型 停 
机 或 “灾难 ”意味 着 远 多 于 数 台 服务 器 或 网 络 设备 的 大 规模 停机 运转 。 必 须 提 前 记 
录 归 档 自动 化 的 和 人 工 过 程 ， 是 为 了 维护 网 络 和 应 用 的 运行 ， 或 至 少 是 关键 服务 和 应 
用 的 运行 ， 需 要 重新 配置 或 重新 部 署 资源 。 在 第 7 章 和 第 11 章 ， 我 们 讨论 了 部 署 和 
配置 元 余 DNS 和 DHCP 服务 的 各 种 方法 。 一 旦 部 署 和 配置 ， 在 出 现 个 体 服务 停机 时 ， 
元 余 功 能 应 该 提供 网 络 服务 持续 性 。 在 这 些 技术 之 上 ，DHCP 和 DNS 仪器 设备 的 部 署 
应 该 提供 一 个 附加 的 可 用 性 层 。 典 型 情况 下 ， 虽然 这 提供 站 点 内 硬件 元 余 ， 但 这 种 模 
型 通常 情况 下 并 不 被 看 做 灾难 恢复 解决 方案 ,原因 是 这 种 模型 要 求 处 于 相同 位 置 。 不 
过 ,仪器 设备 匈 余 提供 可 靠 的 元 余 选 择 ， 特 别 对 于 关键 的 服务 器 (例如 主 DNS 服务 
器 ) 尤其 如 此 。 

IPAM 运行 的 商务 可 持续 性 ， 将 可 能 要 求 部 署 多 个 PAM 数据 库 。 多 个 活跃 的 数 
据 库 或 主 /备份 配置 的 部 署 将 取决 于 您 所 选中 的 厂商 。 各 厂商 实现 各 种 方法 ， 以 便 实 
现 匈 余 ( 如 全 数据 库 拷贝 和 传递 ， 多 个 主 数据 库 (要 求 某 种 程度 的 网 络 分 隔 )) 到 数 
据 库 复 制 技术 的 部 署 ， 其 中 使 用 存储 区 域 网 络 或 SQL 或 LDAP 复制 能 力 。 实 施 一 次 灾 
难 恢复 所 要 求 的 操作 任务 ， 将 可 能 随 厂 商 而 不 同 。 

对 厂商 灾难 恢复 能 力 的 评 佑 ， 将 取决 于 您 的 商务 目标 、 预 算 和 策略 (polices), 
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但 应 该 考虑 三 个 关键 问题 。 

(1) IPAM 数据 库 涉 及 名 字 解 析 或 地 址 指派 吗 ? 例如 ， 一 些 系统 将 来 自 DHCP 的 
动态 更 新 ， 路 由 到 DNS 之 前 ， 首 先 路 由 到 IPAM 数据 库 ， 进 行 唯一 性 检查 。 如 果 
IPAM 数据 库 处 在 这 样 的 一 个 “关键 路 径 ” 中 , 那么 匈 余 和 高 可 用 性 就 是 极端 重 
要 的 。 

(2) 您 的 管理 员 们 对 IPAM 数据 做 出 改变 的 频率 有 多 频繁 ? 改变 的 速率 越 高 ， 则 
在 主 数据 库 和 备份 数据 库 (可 能 是 多 个 ) 之 间 的 两 次 数据 同步 间 ， 可 能 丢失 的 数据 
就 越 多 。 在 改变 不 太 频 繁 的 情况 下 ， 每 天 进行 数据 库 备 份 就 是 一 种 可 接受 的 方案 ， 而 
对 于 高 改变 频率 的 环境 ， 可 能 要 求 小 于 一 天 的 或 事务 级 复制 过 程 。 

(3) 实施 备份 系统 触发 的 过 程 是 什么 ? 一些 厂商 提供 一 个 相对 简单 的 回复 过 程 ， 
而 其 他 厂商 则 要 求 更 多 的 人 工人 入。 考虑 到 一 次 灾难 恢复 故障 切换 的 广泛 影响 ， 人 们 
也 许 期 望 某 种 较 小 程度 的 人 工 介 入 。 间 上 歇 性 的 问题 可 能 导致 假 阳 性 (false positives ) 
结果 和 潜在 的 突然 的 故障 切换 ， 所 以 人 工地 启动 故障 切换 ， 可 能 会 消除 由 解决 方案 所 
导致 的 灾难 。 人 们 希望 ， 如 果 不 会 永 不 发 生 ， 那 么 灾难 也 是 不 频繁 发 生 的 ， 但 当 需 要 
故障 切换 时 ， 也 应 该 在 策略 所 定义 的 时 间 约 束 内 由 员工 手工 地 执行 故障 切换 过 程 。 

这 些 基本 问题 是 相互 依赖 的 。 如 果 问 题 1 和 问题 2 的 答案 分 别 是 “是 ”和 “ 频 
繁 的 ”， 那 么 问题 3 的 答案 也 许 是 “ 单 步 又 的 ”或 至 少 是 “非常 高 效 的 ”。 


14.9 ITIL 过 程 映 射 


IT 基础 设施 库 ? 是 期 望 管 理 、 监 测 ， 并 持续 改善 企业 组 织 所 提供 IT 服务 质量 的 
一 个 开 组 织 机 构 所 用 的 最 佳 实践 文档 集合 。ITIL 是 由 英国 商务 部 (U. K Office of Gov- 
ernment and Commerce) 开发 的 ， 其 面向 IT 服务 的 方法 已 经 由 许多 组 织 机 构 进 行 部 署 
实施 。ITIL 实现 的 最 常见 驱动 因素 包括 以 下 内 容 。 

1) IT 服务 交 付 到 组 织 机 构 的 成 本 降低 。 

2) 通过 潜在 的 影响 服务 变更 的 有 纪律 性 的 规划 和 评估 ， 进 行 风险 管理 。 

3) IT 服务 水 平一 致 性 和 改善 。 

4) 利用 有 文档 记录 的 过 程 和 持续 改进 ， 所 得 到 的 效率 。 

在 这 些 过 程 域 中 的 许多 功能 是 等 同 的 或 类 似 于 前 面 章节 中 讨论 的 那些 功能 ， 所 以 
我 们 将 在 其 ITIL 过 程 域 的 对 应 映射 中 简单 地 总 结 描述 这 些 功能 。 


14.9.1 ITIL 过 程 域 


ITIL 过 程 分 为 两 个 域 : 服务 交付 和 服务 支持 。 服 务 交 付 涉及 IT 服务 的 规划 、 开 
发 和 部 署 ， 而 服务 支持 包括 管理 服务 水 平和 支持 中 的 各 项 服务 操作 。 服 务 台 (service 
desk) 是 第 三 方 过 程 域 ， 它 将 服务 交付 和 服务 支持 进行 集成 ， 向 组 织 机 构 的 其 他 部 门 


在 ITIL 网 站 http: //www. itil - officialsite. com/home/home. aspl!®®] 可 找到 细节 。 本 节 中 的 功能 
映射 依据 的 是 参考 文献 [174] 中 最 初 讨论 的 那些 内 容 。 
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提供 IT 的 一 个 统一 的 接口 。ITL 版 本 3 构建 于 这 些 过 程 集 之 上 ， 带 有 一 些 添 加 内 容 
和 功能 分 割 。 
(1) 服务 交付 。 服 务 水 平 管理 是 一 个 服务 交付 过 程 域 ， 它 包括 IT 组织 机 构 所 提 
供 各 种 服务 的 服务 水 平 规 范 。 这 与 服务 水 平 协议 (合同) 相近 。 服 务 水 平 管理 也 包 
括 依 据 这 些 规范 进行 服务 交付 的 度量 ， 以 便 监测 与 开 所 提供 服务 水 平 的 吻合 性 ， 并 
测量 服务 水 平 。 

从 一 个 IPAM 角度 看 ， 服 务 水 平 管理 可 能 涉及 服务 水 平 的 定义 和 度量 ， 这 些 服 
务 是 提供 给 请 求 IPAM 有 关 服 务 的 那些 实体 ， 不 管 它 是 请 求 一 个 IP 地 址 的 端 用 户 
或 需要 开设 一 个 新 的 零售 办 事 处 的 商务 实体 。 将 这 些 请 求 中 的 端 用 户 或 商务 实体 
看 作 顾 客 ， 这 个 过 程 寻求 测定 服务 交付 是 否 满足 确定 的 服务 水 平 ， 例 如 这 些 请 求 
完成 的 及 时 性 。 使 IPAM 有 关 的 服务 交付 自动 化 ,不 管 是 仅 有 IPAM 发 挥 影响 或 涉 
及 IPAM 作为 一 个 较 大 型 开 服务 的 组 成 部 分 (例如 VoIP 部 署 ) ， 都 有 助 于 及 时 的 
和 准确 的 服务 交付 。 一 个 范例 度量 指标 是 时 间 帧 ， 据 此 可 指派 一 个 子 网 或 一 个 IP 
地 址 。 

财务 管理 自然 地 包括 记 账 ， 这 类 似 于 FCAPS 模型 中 的 记 账 管理 ， 虽 然 财务 管理 
域 处 理 的 是 实际 的 金钱 (dollars and cents as well) 。 这 个 过 程 域 也 处 理 在 一 个 IT 资金 
或 成 本 分 配 模 型 中 某 些 部 分 的 任何 回 冲 (chargebacks) 或 成 本 分 配 。 

一 些 公 司 确 实 实施 IP 地 址 使 用 情况 的 成 本 回 冲 ( chargeback) 。 在 这 样 的 场景 
下 ， 财 务 管理 过 程 将 需要 记录 跟踪 IP 地 址 使 用 情况 以 及 相应 的 用 户 和 可 收费 的 实 
体 (例如 部 门 )。 取 决 于 计 费 或 回 冲 (chargeback) 周期 ， 这 种 IP 地 址 使 用 信息 将 
需要 针对 当前 周期 进行 存储 ， 可 能 存储 更 长 时 间 ， 目 的 是 支持 归档 或 争议 解决 。 
在 证 明成 本 分 配合 理性 方面 ， 您 的 IPAM 系统 中 的 审计 和 历史 数据 ， 也 可 能 是 一 项 
巨大 帮助 。 

容量 管理 简单 地 涉及 确保 正确 类 型 的 充足 开 资源 ， 可 用 于 商务 实体 来 实施 它 的 
工作 。 考 虑 将 这 种 概念 应 用 到 IPAM, “498 IP 地 址 容量 管理 会 出 现在 脑海 中 ， 但 人 们 
也 应 该 考虑 DHCP Fil DNS 服务 器 负载 容量 。 在 前 一 种 情形 中 ， 容 量 管理 要 求 监 测 地 
址 和 地 址 池 ， 以 便 为 雇员 们 得 到 一 个 地 址 并 访问 网 络 提 供 足 够 的 P 地 址 。 对 趋势 进 
行 监测 也 是 有 帮助 的 ， 同 时 对 于 严格 分 配 的 网 络 而 言 ， 建 议 出 现 较 低地 址 池 时 提供 告 
警 。 当 然 ， 考 虑 到 IPv6 地 址 空间 容量 ， 在 可 预测 的 未 来 ， 对 于 IPv6 空间 这 不 太 可 能 
会 成 为 一 个 问题 。 

就 服务 器 容量 管理 而 言 ， 随 时 间 推 移 监测 每 台 服 务 器 的 网 络 、 内 存 和 CPU 利用 
率 情况 ， 可 提供 对 服务 器 性 能 的 次 选 理解 。 可 能 实际 上 要 求实 施 这 种 性 能 任务 ， 原 因 
是 就 事务 完成 百分比 (地 址 租赁 或 解析 ) 以 及 响应 时 间 而 言 ， 它 与 服务 水 平 管 理 是 
有 联系 的 。 不 仅 如 此 ， 服 务 器 上 的 过 量 负载 对 DNS 和 DHCP 服务 的 可 用 性 具有 有 害 
影响 ， 所 以 服务 器 监测 ， 也 许 甚至 是 类 似 探 针 的 事务 型 监测 ， 可 提供 服务 水 平和 容量 
的 实际 测量 。 

可 用 性 管理 是 这 样 一 个 服务 交付 过 程 域 ， 它 将 焦点 放 在 确保 IT 服务 对 端 用 户 是 
可 用 的 。 高 可 用 性 ， 这 包括 DHCP 和 DNS 等 应 用 的 一 个 共同 目标 ， 要 求 匈 余 配 置 的 
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部 署 和 利用 这 些 配置 的 能 力 ， 在 面临 一 个 组 件 停 机 时 提供 持续 的 服务 。 

如 在 第 7 章 和 第 11 章 所 讨论 的 ， 宛 余 仪 器 设备 的 部 署 ， 可 提供 局 部 化 的 集群 ， 
与 DHCP 故障 切换 或 分 割 范围 法 的 实施 以 及 多 服务 器 DNS 部 署 一 起 ， 提 供 一 个 附加 
的 宛 余 层 。 通 过 LDAP 或 复制 的 关系 数据 库 方法 ， 宛 余 IPAM 数据 库 部 署 也 可 确保 管 
HEIP 空间 的 IPAM 应 用 的 可 用 性 。 对 每 个 这 种 宛 余 组 件 可 用 性 的 监测 ， 支 持 停机 的 先 
验 性 检测 ， 以 便 有 助 于 快速 的 停机 解决 问题 (修复 的 平均 时 间 ) ， 同 时 宛 余 组 件 会 承 
担负 载 。 

持续 性 管理 与 可 用 性 管理 有 关 ， 其 中 它 处 理 以 持续 方式 提供 可 用 的 服务 。 例 如 ， 
出 现 一 次 灾难 时 ， 这 个 过 程 域 将 要 求 提 前 准备 好 的 一 个 灾难 恢复 计划 。 如 在 前 面 的 商 
务 持续 性 一 节 所 讨论 的 ， 基 于 组 织 机 构 的 关键 性 需求 和 范围 需求 ， 特 别 是 对 DHCP/ 
DNS 服务 器 和 IPAM 系统 而 言 ， 存 在 各 种 战略 措施 (strategies ) 。 

(2) 服务 台 。 作 为 用 户 团体 的 接口 ， 服 务 台 将 到 IT 组 织 机构 的 意外 报告 、 变 更 
请 求 以 及 其 至 新 的 服务 请 求 等 的 输入 进行 过 滤 。 它 用 于 过 滤 并 将 用 户 请 求 或 问题 定向 
到 其 他 ITIL 域 中 的 任何 一 个 域 ， 为 端 用 户 提 供 一 项 帮助 台 功 能 。 

组 织 机 构 的 策略 和 文化 ， 将 驱动 服务 台 实 施 传 统 的 “等 级 1” 支持 ( 仪 对 后 续 
步骤 的 问题 进行 日 志 记 录 )， 或 实施 较 高 支持 等 级 ( 直到 前 台 人 处理， 实施 一 定 等 级 
的 诊断 ) 。 在 等 级 1 支持 的 情形 中 ， 相 比 于 一 种 票据 (ticketing) 系统 ， 需 求 几乎 
并 不 多 什么 ,票据 系统 具有 这 样 的 能 力 ， 即 将 票据 指派 到 负责 其 他 过 程 域 的 那些 
实体 ， 这 取决 于 呼叫 者 出 现 什么 样 的 问题 。 一 个 服务 台 配 备 雇员 ， 实 施 一 些 问题 
诊断 ， 这 将 要 求 对 状态 监测 工具 的 访问 使 用 ， 就 问题 方面 ， 尝 试 “看 到 呼叫 者 所 
看 到 的 ”情况 。 

对 于 IP 地 址 或 名 字 解 析 有 关 的 呼叫 ， 为 服务 台 员 工 提 供 到 IP 清单 信息 的 访问 能 
力 ， 可 能 证 明 是 有 益 的 。 例 如 ， 如 果 位 于 费城 总 部 办 事 处 的 一 个 人 ， 不 能 得 到 一 个 
IP 地 址 ， 服 务 台 需 要 知道 总 部 的 地 址 规划 ， 以 便 将 问题 和 问题 解决 过 程 集 中 到 那个 
特定 的 子 网 、 关 联 的 路 由 器 或 DHCP/DNS 服务 器 。 

服务 台 不 仅 是 问题 报告 的 接口 ， 而 且 是 变更 请 求 (例如 I 卫 子 网 或 地 址 指派 ) 的 
接口 。 为 服务 台 员 工 提供 到 IPAM 系统 请 求 这 种 变更 的 基本 访问 能 力 ， 或 更 好 的 做 法 
是 ,使 端 用 户 自 己 将 这 种 服务 请 求 注册 到 一 个 自动 化 的 开门 户 ， 这 可 通过 快速 解决 
问题 (rapid fulfillment) 增加 端 用 户 对 IT 服务 的 满意 度 。 

(3) 服务 支持 。 意 外 管理 是 这 样 一 个 服务 支持 过 程 域 ， 它 涉及 跟踪 并 解决 意外 
情况 。 在 ITL 版 本 2 中 ， 它 也 处 理 变更 请 求 ， 而 在 版 本 3 中 ， 这 些 被 分 割 成 独立 的 过 
程 域 。 如 上 面 所 描述 的 ， 服 务 台 直接 从 端 用 户 团体 接收 意外 和 变更 请 求 。 通 过 网 络 监 
W, IT 也 可 先 验 地 检测 和 排除 网 络 问题 。 不 管 一 个 给 定 意外 情况 所 采取 的 检测 方法 
为 何 ， 对 IP 清单 数据 的 访问 能 力 与 排 错 和 意外 解决 是 不 可 分 的 。 男 外 ， 以 阅 值 、 告 
警 、 记 录 日 志 信息 和 审计 等 来 监测 服务 器 状态 ， 可 提供 意外 检测 和 管理 的 一 种 良好 开 
端 做 法 (head start) 。 

服务 请 求 可 如 下 处 理 ， 即 通过 服务 台 或 开 万 维 网 门户 发 起 服务 请 求 票据 ， 这 种 
做 法 见 服务 台 一 节 所 描述 的 内 容 。 
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问题 关联 要 求 跟踪 一 个 已 知 问题 数据 库 中 的 已 知 问题 和 解决 方案 。 例 如 ， 如 果 某 
个 人 呼叫 服务 台 ， 声 称 出 现 一 次 意外 情况 ， 可 直接 进入 问题 管理 ， 识 别 这 个 意外 在 过 
去 是 否 已 经 有 人 报告 并 得 到 解决 。 如 果 情 况 是 这 样 的 话 ， 那 么 可 遵循 确定 的 解决 路 
fe, 快速 地 排 错 并 解决 问题 。 
虽然 IPAM 系统 传统 上 并 不 将 问题 历史 与 解决 批注 (annotations) 存储 在 一 起 ， 
但 一 些 系统 通过 日 志 记 录 历 史 和 清单 变更 审计 ， 提 供 问 题 信息 的 一 个 数据 库 。 通 过 
API 的 网 络 管理 系统 集成 ， 可 提供 问题 历史 的 一 个 整体 (holistic) 视图 ， 方法 是 采用 
API 向 一 个 问题 票据 系统 提供 IPAM 数据 (例如) IPAM 是 整体 网 络 或 IT 服务 管理 方 
法 的 一 个 关键 组 成 部 分 ,但 它 是 不 完备 的 ; 没有 系统 是 完备 的 。 采 用 那 种 集成 法 ， 是 
拥有 问题 管理 范围 一 个 整体 视图 的 一 把 钥匙 而 已 。 

E ITIL 内 的 配置 管理 ， 就 识别 、 记 录 和 控制 影响 IT 服务 的 配置 参数 而 言 ， 类 似 
于 FCAPS 配置 管理 功能 。 如 我 们 在 本 章 所 大 量 讨论 的 ， 配 置 管理 功能 是 IPAM 过 程 的 
一 个 重点 关注 的 焦点 域 。 这 包括 配置 新 的 地 址 池 (从 一 个 DHCP 角度 而 言 ) 、 在 DNS 
中 配置 区 域 和 资源 记录 、 在 路 由 器 上 为 子 网 配置 IP 地址， 等 等 ,所 有 这 些 都 落 在 配 
置 管理 的 疆域 内 。IPAM 数据 库 可 被 看 做 IT 用 于 网 络 配 置 请 求 的 CMDB 联合 体 (con- 
federation) 的 一 个 配置 管理 数据 库 (CMDB) 组 件 。 

对 于 配备 一 名 以 上 的 IPAM 管理 员 的 组 织 机 构 来 说 ， 需 要 考虑 实施 管理 员 控 制 ， 
以 便 确 保 对 DHCP 和 DNS 配置 的 变更 是 在 合适 范围 和 许可 权 下 进行 的 。 例 如 ， 您 可 
能 想 让 管理 员 们 能 够 做 出 改变 , 但 并 不 实际 上 在 DHCP 和 DNS 服务 器 上 部 署 这 些 改 
将 部 署 改变 的 功能 限于 一 个 较 高 等 级 的 管理 员 。 在 后 台 (back end), WIHA 
息 是 责任 跟踪 和 报告 的 关键 。 
拥有 准确 的 IP 配置 信息 是 必要 的 ， 这 可 为 可 规划 的 未 来 配置 变更 ， 提 供 一 个 坚 
实 的 基础 。 一 个 推论 性 的 需求 ， 导 致 将 那个 清单 与 网 络 实际 数据 进行 核验 的 必要 性 。 
在 一 个 表格 上 跟踪 P 清单 是 不 错 的 ， 但 这 要 求 不 断 地 更 新 。 从 网 络 收集 信息 ， 并 之 
后 将 这 个 信息 与 规划 内 容 进行 比较 ， 这 种 能 力 是 非常 重要 的 。 审 计 与 清单 信息 收集 是 
同样 重要 的 。 为 服务 台 配 备 这 种 信息 ， 可 为 立即 解决 呼叫 问题 提供 坚实 的 第 一 道 防 
线 ， 或 至 少将 呼叫 快速 地 移动 通过 处 理 过 程 。 

变更 管理 提供 在 IT 基础 设施 中 实施 变更 的 控制 。 这 涉及 就 所 提 变 更 的 范围 和 实 
施 时 间 方 面 ， 确 保 所 有 被 影响 的 各 方 是 一 致 的 。 就 PAM 而 言 ， 常 见 的 情况 是 ， 变 更 
管理 的 范围 会 影响 IPAM 组 件 ， 例 如 增加 一 个 地 址 池 ， 在 网 络 中 部 署 一 台新 的 DHCP/ 
DNS 服务 器 ， 或 将 一 台 服 务 器 升级 到 一 个 新 的 软件 版 本 。 基 本 上 而 言 ， 影 响 基础 设 
施 任何 部 分 的 任何 事情 ， 无 论 是 物理 的 或 软件 的 或 甚至 是 低层 仪器 设备 的 操作 系统 ， 
都 落 在 变更 管理 过 程 之 下 ， 这 个 过 程 寻 求 确 保 所 有 合适 的 批准 都 就 位 ， 且 有 可 用 的 相 
应 退出 (backout) 计划 。 

发 行 管理 是 这 样 一 个 服务 支持 过 程 域 ， 它 对 硬件 和 软件 版 本 的 部 署 发 行 提供 控 
制 ， 不 仅 针对 操作 系统 ， 而 且 对 应 用 和 仪器 设备 都 是 如 此 。 这 个 过 程 域 负责 在 开 网 
络 上 ， 那 些 版 本 是 可 得 到 的 和 可 访问 的 ， 并 确保 存在 发 行 和 版 本 的 一 个 授权 集 ， 可 被 
用 来 进行 合适 的 部 署 。 


= 


变 
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通过 一 个 中 心地 点 ， 对 DHCP 和 DNS 服务 器 的 发 行规 划 和 升级 管理 ， 会 是 一 种 
巨大 的 时 间 节 省 方法 (timesaver) 。 这 种 替代 方法 要 求 操作 系统 、 补 丁 和 应 用 软件 的 
现场 (on-site) 升级 是 成 本 高 昂 的 和 消耗 时 间 较 大 的 。IPAM 的 发 行 管理 也 落 在 这 个 
分 类 范围 内 。 


14.10 ”结论 


FCAPS 和 ITIL 是 类 似 的 ， 是 指 它们 都 提倡 带 有 严格 约束 执行 的 文档 化 的 过 程 。 
IPAM 对 一 个 组 织 机 构 的 重要 性 ， 应 该 驱动 将 FCAPS 或 ITIL 原理 应 用 到 组 织 机 构 内 的 
IPAM 实践 。 本 章 给 出 了 一 个 FCAPS 框架 上 下 文中 主要 IPAM 过 程 步骤 的 详细 视角 ， 
还 给 出 了 到 ITIL 的 一 种 建议 映射 关系 。 


15% IPv6 部 署 和 JIPv4 共存 


15.1 引言 


IPv6° 最 初 是 在 20 世纪 90 年 代 中 期 规范 定义 的 ， 目 的 是 为 了 解决 弥补 快速 耗 
竭 的 IPv6 地 址 空间 的 当时 迫切 需求 。 当 时 在 定义 IPv6 (或 IPng (IP 下 一 代 ), 在 
最 初 命名 时 是 这 样 的 ) 的 工作 上 是 在 巨大 热情 中 开始 的 ， 当 时 因特网 刚刚 开始 在 
普通 公众 中 流行 。 越 来 越 多 的 企业 扩展 它们 的 内 部 网 ， 以 便 支 持 到 全 球 因 特 网 的 
连接 。 因 为 每 台 可 达 的 主机 都 要 求 一 个 唯一 的 公开 IPv4 地 址 ， 所 以 对 地 址 的 需求 
猛 涨 。 

这 些 事 件 激发 了 IPv6 的 开发 ， 它 们 也 刺激 了 其 他 技术 的 开发 ， 这 些 技术 延长 了 
IPv4 地 址 空间 的 可 预期 寿命 。 如 我 们 在 第 1 章 所 讨论 的 ， 无 类 域 间 路 由 (CIDR) 使 
区 域 因 特 网 注册 机 构 和 ISP 能 够 更 加 高 效 地 分 配 地 址 空间 ， 这 是 相 比 以 前 仅 以 有 类 
(classful) 分 配方 法 而 言 的 。 

在 第 1 章 中 讨论 的 另 一 项 Pv 分 配 策略 是 分 配 私 有 地 址 空间 ， 这 种 方法 极 大 地 
降低 了 组 织 机 构 从 RIR Bk ISP 要 求 的 地 址 空间 量 。 在 RFC 1918 中 定义 的 私有 网 络 分 
配 ， 使 每 个 组 织 机 构 能 够 为 它们 的 内 部 网 络 使 用 相同 的 地 址 空间 。 与 因特网 主机 的 通 
信 或 组 织 机 构 间 的 通信 ， 仍 然 要 求 公开 地 址 ， 但 网 络 地 址 转换 (NAT) 防火 墙 的 使 
用 ， 为 内 部 主机 访问 因特网 提供 了 私有 地 址 到 公开 地 址 的 转换 。 

人 们 可 能 会 争辩 说 ，DHCP 本 身 也 可 支持 地 址 空间 的 更 好 利用 ， 它 具有 依据 需求 
而 在 多 个 用 户 间 共 享 地 址 的 能 力 。 虽 然 在 组 织 机 构 内 善 遍 配置 有 私有 地 址 空间 ， 对 公 
开 地 址 空间 几乎 没有 什么 影响 ， 但 DHCP 也 为 宽带 和 无 线 服 务 提 供 商 所 用 ， 目 的 是 支 
持 其 相应 用 户 基数 的 因特网 访问 。 

这 些 日 益 增长 的 用 户 基数 仍然 驱动 着 增长 的 IPv4 地 址 消耗 ， 这 削减 了 可 用 的 
容量 。 在 世界 各 地 ，Pv4 地 址 空间 的 当前 分 配 是 不 够 的 。 例 如 ， 亚 洲 被 分 配 了 大 
约 20% 的 IPv4 地 址 分 配 ， 但 却 支持 了 世界 人 口 的 50% 。 在 IPv6 部 署 方面 ， 亚 洲 是 
领先 者 之 一 ， 之 后 紧 跟 的 是 欧洲 。 虽 然 北美 拥有 相对 充足 的 IPv4 地 址 空间 ,但 许 
多 组 织 机 构 正 在 评估 迁移 到 IPv6 的 工作 ， 特 别 政府 和 服务 提供 商 组 织 热心 这 种 
活动 。 

当 我 们 讨论 PY6“ 迁 移 ” 时 ， 我 们 指 的 是 仅 支 持 IPv4 网 络 的 一 个 初始 状态 ， 随 
时 间 添 加 了 或 重 载 了 IPv6 节点 和 网 络 ， 得 到 一 个 仅 支 持 IPv6 的 网 络 ， 或 在 多 数 情 形 
中 更 可 能 的 是 ， 一 个 普遍 存在 的 IPv6 网 络 带 有 持续 的 IPv4 支持 。 


”本 章 中 的 材料 依据 的 是 参考 文献 [11] 的 第 8 章 和 参考 文献 [147] ， 但 增加 了 更 多 细节 。 
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15.1.1 为 什么 要 实现 IPv6 


在 2007 年 5 月 22 日 ,美国 因特网 地 址 注册 机 构 (ARIN 一 一 RIR 之 一 ) 委员 会 发 
出 一 份 公开 声明 “建议 迁移 到 IPv6 编 址 资源 的 因特网 团体 ， 要 求 从 ARIN 得 到 连续 
TP 号 码 资 源 未 来 可 用 性 的 任何 应 用 ， 是 一 个 必要 过 程 ”。 这 本 质 上 声明 ，IPv4 编 址 资 
源 (包括 IPv4 地 址 ) 正在 变 得 日 益 稀缺 ， 随 着 时 间 推 移 而 要 求 附加 地 址 的 实体 
(LIR, ISP), ， 需 要 计划 IPv6。 所 有 RR 也 发 表 过 类 似 声明 。 一 些 估计 预测 在 大 的 
2012 年 左右 RIR 层次 会 发 生 IPv4 空间 耗 尽 ?。 事 实 上 ，APNIC 的 Geoff Huston 博士 在 
www. potaroo. net/tools/ipv4 发 布 了 有 启发 作用 的 分 析 ， 是 每 天 都 更 新 的 ， 提 供 了 这 些 
悲观 预测 的 证 据 。 

在 2012 年 IPv4 空间 的 这 种 最 终 分 配 到 来 时 ， 或 无 论 何 时 发 生 这 种 情况 时 ，ISP 
们 将 仍然 有 地 址 空间 可 分 配 ; 由 一 个 RIR 所 分 配 的 最 后 一 个 地 址 块 将 耗 尽 RIR 空间 ， 
但 这 个 已 分 配 的 ISP 地 址 块 仍然 可 用 于 ISP 分 配 。 当 ISP 客户 基数 完全 消耗 掉 他 们 的 
可 分 配 空间 时 ，ISP 空间 将 耗竭 ， 在 这 之 后 将 需要 一 年 左右 的 时 间 。 没 有 提交 请 求 IP 
地 址 而 且 在 可 预见 的 将 来 没有 计划 提交 请 求 的 企业 ， 可 能 得 出 结论 ，IPv6 将 不 会 影 
响 到 他 们 。 但 在 这 个 时 间 点 ， 仅 有 IPv6 空间 可 用 的 情况 下 ， 新 的 ISP 或 寻求 扩展 地 址 
空间 的 组 织 机 构 ， 将 为 端 用 户 生 成 仅 有 IPv6 连通 的 情形 。 随 着 这 种 仅 支持 IPv6 用 户 
群 的 增长 ， 这 将 驱使 仅 支 持 IPv4 的 组 织 机 构 在 外 部 ( 面向 因特网 ) 万 维 网 、 电 子 邮 
件 和 其 他 公开 服务 器 上 实现 IPv6。 

另外 ， 像 许多 IP 网 络 变 化 (例如 由 在 组 织 机 构 内 采用 无 线 和 PDA 的 那些 变化 ) 
一 样 ，IPv6 最 终 将 会 由 通过 下 一 代 蜂 窜 电 话 、PDA 连接 到 网 络 的 雇员 或 甚至 通过 网 
络 或 家 庭 连接 的 Windows Vista (或 Windows 7) 得 到 推广 使 用 。 在 这 种 情形 下 ， 管 理 
IPv6 地 址 空间 的 需求 会 强加 到 IT 管理 员 身 上 。 无 论 是 由 外 部 仅 支 持 IPv6 的 用 户 还 是 
内 部 用 户 所 驱动 的 ， 现 在 就 提前 针对 IPv6 做 出 计划 ， 就 是 比较 深 谋 远虑 的 做 法 ， 无 
论 您 计划 完全 地 迁移 您 的 网 络 ， 或 计划 处 理 尝 试 连接 的 个 体 IPv6 设备 ， 都 是 如 此 。 
许多 服务 提供 商 已 经 稳步 踏 上 了 在 其 IP 网 络 上 迈 向 IPv6 部 署 的 道路 。 


15.1.2 IPv4-IPv6 共存 技术 


存在 许多 种 技术 ， 可 便利 设备 迁移 到 IPvw6。 因 为 “迁移 ”将 可 能 是 一 个 非常 漫 
长 的 过 程 ， 所 以 我 们 使 用 术语 “共存 ”来 体现 这 种 情况 。 我 们 将 依据 如 下 基本 分 类 ， 
讨论 这 些 方 法 。 

(1) 双 栈 。 在 网 络 设备 上 同时 支持 IPv4 和 IPv6。 

(2) 隧道 。 在 一 个 IPv4 网 络 上 进行 传输 时 ， 将 一 条 IPv6 报 文 封装 在 一 条 IPv4 报 
文 ; 或 相反 的 情况 亦 然 。 

(3) 转换 。IP 首部、 地 址 和 /或 端口 转换 ， 例 如 有 网 关 或 NAT 设备 所 实施 的 那 


O ”虽然 人 们 可 从 这 个 分 析 中 推测 Pv 地 址 空间 耗 尽 的 日 期 ， 但 Huston 博士 分 析 的 意图 更 多 地 将 焦点 
放 在 识别 何 时 RIR 策略 才能 到 位 ， 来 处 理 管理 IPv4 地 址 资源 的 新 RIR 角色 。 
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些 功 能 。 

所 选中 的 策略 要 求 如 下 方面 的 有 效 协同 。 

(1) IPv4 Al IPv6 网 络 及 子 网 分 配 ， 无论 是 现 有 的 还 是 计划 中 的 。 

(2) 验证 网 络 基础 设施 和 应 用 是 与 IPv6 兼容 的 。 

(3) 对 于 期 望 的 隧道 法 或 转换 法 ，DNS 资源 记录 配置 对 应 于 合适 的 名 字 到 地 址 
(可 能 是 多 个 ) 解析 。 

(4) 在 合适 的 情况 下 ， 对 所 选中 隧道 模式 的 兼容 客户 端 /主机 和 路 由 器 支持 。 

(5) 在 合适 的 情况 下 ， 部 署 转换 网 关 (可 能 是 多 个 )。 

在 本 章 后 面 ， 针 对 服务 提供 商 和 企业 ， 给 出 范例 IPv6 实现 场景 ,但 首先 让 我 们 
讨论 关键 的 共存 技术 。 


15.2 WHA 


双 栈 方法 是 这 样 组 成 的 ， 在 要 求 访 问 两 种 网 络 层 技术 的 设备 上 ， 实 现 IPv4 和 
IPv6 协议 ， 这 些 设 备 包括 路 由 器 、 其 他 基础 设施 设备 、 应 用 服务 需 和 端 用 户 设备 。 这 
样 的 设备 将 配置 有 IPv4 地 址 和 IPv6 地 址 ， 且 它们 可 通过 为 相应 协议 定义 的 方法 (由 
管理 员 激 活 ) 来 得 到 这 些 地 址 。 例 如 ， 一 个 IPv4 地 址 可 能 是 通过 DHCPv4 得 到 的 ， 
而 IPv6 地 址 可 能 是 自动 配置 的 。 

就 协议 栈 的 范围 而 言 ， 实 现 可 随 双 栈 方法 而 发 生变 化 ， 协 议 栈 是 共享 的 或 对 每 个 
IP 版 本 是 不 同 的 。 理 想 情 况 下 ， 仅 有 网 络 层 是 双 份 的 〈dualized) ， 使 用 共同 的 应 用 、 
传输 和 数据 链 路 层 。 这 是 微软 Vista 和 微软 7 中 实现 的 方法 ， 这 与 XP 实现 是 相反 的 ， 
后 者 利用 双 份 的 传输 层 和 网 络 层 ， 这 在 一 些 情 形 中 ， 要 求 进行 每 个 栈 的 宛 余 配 置 。 其 
他 的 方法 可 能 跨越 整个 栈 ， 直 到 物理 层 ， 都 要 求 对 IPv6 和 卫 v4 使 用 独立 的 网 络 接口 。 
这 种 方法 ， 虽 然 与 一 种 分 层 模型 的 益处 相对 ， 可 能 是 有 意 而 为 且 甚 至 是 人 们 所 期 望 
的 ， 特 别 在 网 络 服务 器 带 有 多 种 应 用 或 服务 的 情况 下 尤其 如 此 ， 其 中 一 些 应 用 或 服务 
可 能 是 有 意 地 仅 支 持 一 个 版 本 或 另 一 个 版 本 。 


15.2.1 2 


部 署 共享 共同 的 物理 网 络 接口 的 双 栈 设备 ， 意 味 着 在 同一 物理 链 路 之 上 同时 运行 
IPv4 和 IPv6。 上 毕竟 ， 和 幸亏 由 于 协议 分 层 ， 以 太 网 和 其 他 层 2 技术 才 可 支持 IPv4 或 
IPv6 净 荷 。 双 栈 设 备 要 求 支 持 这 种 链 路 的 路 由 器 也 是 双 栈 的 。 在 转换 过 程 中 ， 人 们 
预期 这 种 重 又 方法 是 非常 普遍 的 ， 并 如 图 15-1 所 示 。 这 个 图 可 扩展 到 一 个 物理 LAN 
之 外 ， 扩 展 到 一 个 多 跳 网 络 ， 其 中 路 由 器 支持 IPv4 和 IPv6， 并 在 纯粹 IPv4 主机 间 路 
由 ， 在 支持 IPv6 的 主机 间 路 由 IPv6 报 文 。 
虽然 通常 情况 下 ， 人 们 预料 路 由 器 将 是 被 升级 支持 两 种 协议 的 首 批 P 网 元 ， 但 
RFC 455405 是 一 个 信息 型 的 RFC， 其 中 描述 使 用 VLAN 的 一 种 创新 方法 ， 在 不 要 求 
立即 升级 路 由 器 的 条 件 下 ， 支 持 一 种 重 全 配置。 这 种 方法 依赖 于 VLAN 标签 ， 使 层 2 
交换 机 能 够 广播 或 捆绑 传输 (trunk) 包含 IPv6 净 荷 的 以 太 网 帧 ， 传 输 到 一 台 或 多 台 
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支持 IPv6 WER A AR, TOI e HARTAR IPv6， 例 如 到 一 个 IPv6 网 络 的 网 


关 ， 那 么 交换 机 接口 被 连接 到 的 路 由 器 接口 ， 可 配置 为 


IPv6 或 双 栈 设备 可 配置 为 IPv6 VLAN 的 成 员 ， 
这 种 部 署 的 一 个 例子 如 图 15-2 所 示 。 


“IPv6 VLAN”。 之 后 其 他 


且 多 个 这 样 的 VLAN 可 进行 类 似 配 置 。 


物理 视图 
= IPv6 
路 由 器 
纯粹 IPv4 纯粹 IPv6 
逻辑 视图 pe 
IPv6 协 议 
IPv4/IPv6 
路 由 器 
纯粹 [Pv4 WE 纯粹 IPv6 
FA 15-1 URI 
C 


= 


| 
a 

~ 
ir 
= 


15.2.2 DNS 考虑 


双 栈 主机 
IPv4 VLAN 
一 一 一 一 JIPv6 VLAN 
图 15-2 


IPv6 路 由 器 


使 用 VLAN 的 双 栈 部 署 [1"] 


如 我 们 将 看 到 的 ， 在 每 种 迁移 技术 的 正确 运行 中 ，DNS 扮演 了 一 个 至 关 重 要 的 


be ee 


角色 ; + eb, 
(在 网 络 层 的 IPv4 或 IPv6 


它 提 供 了 端 用 户 命 名 (例如 在 应 用 层 的 网 站 地 址 ) 和 目的 地 IP 地 址 
地 址 ) 之 间 的 重要 联系 。 尝 试 访问 一 
将 查询 DNS， 管 理 员 可 配置 该 DNS， 配 置 对 应 于 节点 IPv4 地 址 的 


台 双 栈 设 备 的 端 用 户 
一 条 A 资源 记录 和 


对 应 于 其 IPv6 地 址 的 一 
的 一 个 常用 主机 域名 ， 见 如 下 例子 。 


条 AAAA 资源 记录 。 资 源 记 录 的 属 主 字段 可 能 有 对 应 于 设备 


dual- stack- host. ipamworldwide. com. 86400 IN A 10. 200. 0. 16 
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dual- stack- host. ipamworldwide. com. 86400 IN AAAA 2001: DB8: 2200:: A 

IP 地 址 到 主机 域名 的 解析 ， 也 可 配置 在 合适 . arpa 域内 的 DNS 之 中 。 

16. 0. 200. 10. in-addr. arpa. 86400 IN PTR dual-stack- host. ipamworldwide. com. 

A. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 2. 2. 8. B. D. 0. 1. 0. 0. 2. ip6. arpa. 
86400 

IN PTR dual-stack- host. ipamworldwide. com. 

一 个 双 栈 节点 本 身 ， 在 其 自己 的 DNS 解析 处 理 过 程 之 中 ， 必 须 能 够 支持 A 和 
AAAA 记录 的 接收 ， 并 使 用 该 地 址 和 对 应 于 返回 记录 的 协议 ， 与 预期 目的 地 进行 通 
言 。 当 从 查询 中 返回 一 条 A 和 AAAA 记录 时 ， 一 些 解 析 器 配置 可 能 支持 首选 网 络 协 
议 的 定义 ， 而 并 不 涉及 当 发 出 DNS 查询 本 身 时 使 用 的 协议 。 另 外 ， 如 我 们 将 看 到 的 ， 
一 些 自动 化 的 打 隧 道 技术 利用 特定 的 IPv6 地 址 格式 ， 所 以 也 可 能 返回 对 应 于 一 种 或 
多 种 隧道 化 地 址 格式 的 地 址 ， 并 如 下 使 用 ， 即 解析 主机 支持 对 应 的 隧道 化 技术 。 解 析 
相应 的 PTR 记录 的 做 法 ， 要 求 对 相应 . arpa. 树 向 下 遍历 ， 这 在 一 些 情 形 中 可 能 有 误 ， 
即 带 有 欺骗 性 质 (我 们 将 在 下 面 讨论 ) 。 

就 DNS 查询 和 答案 的 传输 中 所 用 的 IP 版 本 而 言 ，RFC 3901 (因特网 当前 最 佳 实 
ROUSEN, HAW DNS 服务 器 应 该 仅 支 持 IPv4 或 双 栈 IPv4/1Pv6。 该 RFC 也 
建议 ， 每 个 DNS 区 域 应 该 至 少 由 一 台 IPv4 可 达 的 权威 DNS 服务 器 提供 服务 。 提 出 这 
些 建 议 ， 目 的 是 为 仅 支 持 IPv4 的 解析 器 提供 后 向 兼容 性 ， 而 这 些 解 析 器 将 存在 相当 
长 的 时 间 。 


15.2.3 DHCP 考虑 


在 双 栈 实现 中 使 用 DHCP 的 机 制 在 如 下 情况 下 是 简单 的 ， 即 每 个 栈 使 用 其 对 应 的 
DHCP 版 本 。 即 ， 为 得 到 一 个 IPv4 地 址 ， 使 用 DHCP; 为 得 到 一 个 IPv6 地 址 或 前 级 ， 
使 用 DHCPv6。 但 是 ， 这 两 种 形式 的 DHCP 提供 了 附加 的 配置 信息 ， 例 如 要 使 用 哪 台 
DNS BK NTP 服务器。 取决 于 从 两 种 服务 器 处 得 到 的 信息 如 何 合并 的 情况 ， 所 得 到 的 
信息 可 能 导致 客户 端 上 的 不 正确 行为 。 例 如 ， 如 果 DNS 服务 器 地 址 可 由 这 两 种 DHCP 
事务 提供 的 话 ， 那 么 就 不 能 传递 IPv4 、IPv6 的 首选 情况 ， 或 混合 首选 排序 信息 。 这 仍 
然 是 人 们 关心 的 一 个 待 决 领域 ， 在 REC 447!" 中 进行 了 记录 ， 但 当前 标准 是 为 IPv4 
使 用 一 台 DHCP 服务 器 ， 为 IPv6 使 用 一 台 DHCPv6 服务 器 ， 它 们 可 能 实现 在 一 台 共 同 
的 物理 服务 器 上 。 


a 


15.3 打 隧 道 方法 


已 经 开发 各 种 打 隧 道 的 技术 ， 用 来 支持 IPv4 之 上 的 IPv6 和 IPv4 隧道 之 上 的 
IPv6。 一 般 而 言 ， 这 些 技术 被 分 类 为 配置 的 或 自动 化 的 。 配 置 的 隧道 是 预先 确定 的 ， 
而 自动 化 的 隧道 是 在 线 产生 和 拆除 的 。 在 回顾 一 下 打 隧 道 方法 基础 知识 之 后 ， 我 们 将 
讨论 这 两 种 隧道 类 型 。 

一 般 来 说 ， 在 一 个 IPv4 网 络 上 以 隧道 方式 传输 IPv6 报 文 的 做 法 ， 涉 及 在 一 条 


第 15 IPv6 部 署 和 IPv4 共存 297 


IPv6 报 文 前 面 打 上 一 个 IPv4 首部 ， 如 图 15-3 所 示 。 这 使 打 过 隧道 的 报 文 能 够 在 一 个 
IPv4 路 由 基础 设施 上 被 路 由 ; IPv6 报 文 被 简单 地 看 做 IPv4 报 文 内 的 净 荷 。 隧 道 的 人 
口 点 ， 无 论 是 一 台 路 由 器 还 是 主机 ， 都 要 实施 封装 功能 。 在 IPv4 首部 中 的 源 IPv4 地 
址 带 有 那个 节点 的 Pv4 地 址 ， 目 的 地 址 是 隧道 端点 的 地 址 。IPv4 首部 的 协议 字段 被 
设置 为 41 (十 进 制 ) ， 指 明 是 一 条 被 封装 的 IPv6 报 文 。 出 口 节点 或 隧道 端点 实施 解 
封装 ， 去 掉 IPv4 首部 ， 并 依据 情况 ， 通 过 IPv6 将 报 文 路 由 到 最 终 目 的 地 。 


[=a Tour [a 
—_ 
ne EE 


IPv4 首 部 


Al 15-3 IPv4 隧道 之 上 的 IPv605 


15.3.1 IPv4 网 络 上 传输 IPv6 报 文 的 打 隧 道场 景 


使 用 这 种 基本 的 打 隧 道 方法 ， 就 定义 了 基于 隧道 端点 的 多 种 场景 。 也 许 最 常见 的 
配置 是 一 种 路 由 器 到 路 由 器 的 隧道 ， 如 图 15-4 所 示 ， 这 是 配置 隧道 的 最 常见 方法 。 


IPv6 主 机 


IPv6] 下 V4 路 由 办 全 


IPv6 主 机 IPv6/IPv4 路 由 器 
v6 地 址 =W v4 地 址 =B v4 地 址 =C v6 地 址 =Z 
v6 地 址 =X r JEB 1 v6 地 址 =Y 
v6 源 =W v4 目的 地 =C 1 v6 源 =W 
v6 目的 地 -Z EN v6 目 的 地 -2 
v6 目的 地 =Z 


图 15-4 路 由 器 到 路 由 器 的 隧道 [1 


在 这 个 图 中 ， 在 左 侧 的 源 发 IPv6 主机 有 IPv6 地 址 W (现在 是 出 于 简单 性 和 简洁 
性 考虑 ) 。 目 的 地 为 图 中 远 端 主机 的 一 条 报 文 ? 具 有 IPv6 地 址 Z， 该 报 文 被 发 往 服务 
该 子 网 的 一 台 路 由 器 。 这 人 台 路 由 器 ， 带 有 IPv4 地 址 B 和 IPv6 地 址 X， 接 收 到 IPv6 报 
文 。 被 配置 为 将 目的 地 为 主机 Z 所 在 网 络 的 报 文 以 隧道 方式 传输 ， 则 该 路 由 器 将 IPv6 
报 文 封装 带 有 一 个 IPv4 首部 。 路 由 器 使 用 它 的 IPv4 地 址 (B) 作为 源 IPv4 地 址 ， 以 
隧道 端点 路 由 器 ( 带 有 IPv4 地 址 C) 作为 目的 地 地 址 ， 后 者 由 图 15-4 中 心 部 分 IPv4 
网 络 之 下 的 点 线 式 和 矩形 表示 。 被 打上 隧道 的 报 文 ， 像 “常规 ”了 Pvw4 报 文 一 样 被 路 由 
到 目的 地 隧道 端点 路 由 器 。 这 人 台 端 点 路 由 器 将 报 文 解 封装 ， 去 掉 IPv4 首部 ， 将 原始 的 


O ”这 条 报 文 被 粗略 地 标识 为 图 中 原始 主机 之 下 的 实 线 矩 形 ， 给 出 报 文 的 IPv6 源 地 址 W 和 目的 地 地 
址 Z。 在 本 图 和 后 续 的 打 隧 道 方法 的 图 中 ， 隧 道 首部 被 显示 为 点 线 式 矩形 。 
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IPv4 报 文 路 由 到 预期 的 目的 地 Z。 

另 一 种 隧道 法 场景 ， 突 出 一 台 IPv6ZIPv4 主机 ， 该 主机 能 够 支持 IPv4 和 IPv6 
协议 ， 以 隧道 方式 将 一 条 报 文 传输 到 一 台 路 由 器 ， 接 下 来 路 由 器 对 报 文 解 封装 ， 
并 将 其 通过 IPv6 以 原生 方式 (natively) 进行 路 由 。 这 个 流程 及 报 文 首部 地 址 如 
图 15-5 所 示 。 打 隧道 的 机 制 是 与 路 由 器 到 路 由 器 的 情形 相同 的 ， 但 隧道 端点 是 
不 同 的 。 


IPv6 主 机 


IPv6 路 由 器 


4 地 址 =A v4 地 址 =B 2 6 地 址 =Z 
oy : V6 地 址 - v6 地 址 =Y v6 地 
v6 源 =W 
v6 源 =W v6 源 =~W 
L shee =B J v6 目 的 地 =Z v6 目的 地 =Z 
v6 目的 地 =Z 
图 15-5 主机 到 路 由 器 的 隧道 法 配置 [1 


路 由 器 到 主机 的 配置 也 是 非常 类 似 的 ， 如 图 15-6 所 示 。 在 图 中 左 侧 的 源 发 IPv6 
EHL, Ki IPv6 报 文 发 送 到 它 的 本 地 路 由 器 ， 后 者 将 报 文 路 由 到 最 靠近 目的 地 的 一 台 
路 由 器 。 发 挥 作用 (serving) 的 路 由 器 被 配置 为 在 IPv4 之 上 以 隧道 方式 将 IPv6 报 文 
传输 到 主机 ， 如 图 15-6 所 示 。 

最 后 一 种 打 隧 道 的 配置 是 跨越 端 到 端的 配置 ， 即 从 主机 到 主机 的 情形 。 如 果 路 由 
基础 设施 还 没有 升级 到 支持 IPv6， 那 么 这 种 打 隧 道 的 配置 ， 使 两 台 IPv6/1Pv4 主机 能 
够 通过 一 条 隧道 进行 通信 ， 如 图 15-7 所 示 。 在 这 个 例子 中 ， 通 信和 是 从 端 到 端 在 IPv4 
协议 上 发 生 的 。 


IPv6 路 由 器 IPv6/IPv4 路 由 器 


IPv6 主机 


= 址 =C 
v6 地 址 =W V6 地 址 =X v4 地 v6 地 址 =Z 
v6 地 址 -= Yr WEC 1 
V6 源 =W V6 源 =W ie v4 目的 地 =D J 
v6 目的 地 v6 目的 地 =Z v6 源 =W 
v6 目的 地 2 


图 15-6 ”路 由 器 到 主机 的 隧道 配置 11] (一 ) 


S 0, 


ee 


s/n IPv6 路 由 器 IPv6/IPv4 主 机 
v4 地 址 =A v4 地 址 =C v4 地 址 =D 
v6 地 址 =W v6 地 址 =Z 

v4 源 =A v4 源 =A vr v4 源 =A 
L v4 目的 地 =D i“ v4 目 的 地 =D iP As v4 目的 地 =D 1 
V6 源 =W v6 源 =W v6 源 =W 
v6 目的 地 =Z v6 目的 地 =Z v6 目的 地 =Z 


图 15-7 路 由 器 到 主机 的 隧道 配置 (1 (二 ) 
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15. 3.2 隧道 类 型 


如 前 面 提 到 的 ， 隧道 是 配置 的 或 自动 产生 的 。 配 置 的 隧道 是 在 通信 之 前 由 管理 员 
提前 配置 的 。 在 上 面 描述 的 场景 中 ， 就 何 时 以 隧道 方式 传输 IPv6 报 文 而 言 ， 要 配置 
设备 就 要 求 配置 相应 的 隧道 端点 ， 即 依据 目的 地 和 其 他 隧道 配置 参数 进行 配置 ， 这 些 
参数 是 隧道 实现 必 备 的 参数 。 

一 条 自动 产生 的 隧道 并 不 要 求 隧道 的 提前 配置 ， 但 却 要 求 激活 以 隧道 法 传输 的 配 
置 。 依 据 IPv6 报 文 内 包含 的 信息 〈 例 如 源 或 目的 地 P 地 址 ) 创建 隧道 。 本 节 描 述 了 
如 下 自动 方式 打 隧道 的 技术 。 

(1) 6to4。 依 据 一 个 特定 的 全 局 地 址 前 级 和 内 舰 的 IPv4 地 址 ， 路 由 器 到 路 由 器 
自动 打 隧 道 方 法 。 

(2) ISATAP。 依 据 一 种 特定 的 IPv6 地 址 格式 (包括 一 个 内 骨 的 IPv4 地 址 ) ， 主 
机 到 路 由 器 、 路 由 器 到 主机 或 主机 到 主机 的 自动 打 隧道 方法 。 

(3) 6over4 (IPv4 之 上 的 IPv6)。 使 用 IPv4 组 播 的 主机 到 主机 的 自动 打 隧 道 
方法 

(4) 隧道 代理 。 由 一 台 服 务 器 实现 的 自动 隧道 建立 方法 ， 在 指派 隧道 网 关 资源 
过 程 中 ， 该 服务 器 代表 要 求 打 隧道 的 主机 ， 作 为 一 个 隧道 代理 。 

(5) Teredo。 在 IPv4 网 络 上 通过 NAT 防火 墙 的 自动 打 隧 道 方法 。 

(6) 双 栈 迁移 机 制 。 支 持 在 IPv6 网 络 上 IPv4 报 文 的 自动 打 隧 道 方法 。 

6to4。6to4 是 IPv4 之 上 传输 IPV6 的 打 隧 道 技术 ， 它 依赖 于 一 种 特定 的 IPv6 地 址 
格式 来 识别 6to4 报 文 ， 并 据 此 以 隧道 方式 进行 传输 。 地 址 格式 由 一 个 6to4 前 绥 
2002:: /16， 后 跟 一 个 全 局 唯一 的 IPv4 地 址 (用 于 预期 的 目的 地 站 点 ) 组 成 。 这 种 
串 接 法 形成 一 个 48 前 级， 如 下 图 。 
唯一 的 IPv4 地 址 ， 在 图 15-8 我 们 的 例子 中 是 192. 0. 2. 131， 代 表 终 止 6to4 隧道 
的 6to4 的 IPv4 地 址 。48bit 的 6to4 前 级 用 作 全 局 路 由 前 级， 一 个 子 网 DD 可 被 附加 为 
接 下 来 的 16bit， 后跟 一 个 接口 D， 由 此 完整 地 定义 了 该 IPv6 地 址 。 必 须 使 用 带 有 
6to4 隧道 法 支持 的 路 由 器 (6to4 路 由 器 ) ， 通 过 6to4 隧道 发 送 /接收 的 IPv6 主机 ， 必 
须 配 置 有 一 个 6to4 地 址 ， 并 被 认为 是 6to4 EHL, 


全 局 唯一 IPv4 地 址 : ] 
oe 1000000100000000\00000010\10000011 
i i 


6to4 前 缀 2002::/16 


010 1/0 010/00/000000110)11000000100000000/0000001 0)1000001)1 


2002 : C000 :283::/48 
图 15-8 6to4 地 址 前 绥 生 成 法 5 


让 我 们 考虑 一 个 例子 ， 包 含 6to4 主机 的 两 个 站 点 ， 期 望 进行 通信 ， 并 通过 连接 
到 一 个 共同 的 IPv4 网 络 的 6to4 路 由 器 进行 互联 ; 这 可 能 是 因特网 或 一 个 内 部 IPv4 网 
络 。 依 据 图 15-9， 路 由 器 的 IPv4 接口 的 IPv4 地 址 (相互 面 对 ) 分 别 是 192. 0. 2. 130 
和 192. 0.2. 131, 将 这 些 IPv4 地 址 转换 到 6to4 前 级 ,我 们 分 别 得 到 2002: C000. 
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282:: /48 和 2002: C000: 283:: /48。 就 6to4 可 达 性 而 言 ， 这 些 前 绥 现 在 识别 了 每 
个 站 点 。 在 左 侧 的 我 们 的 6to4 主机 处 于 子 网 ID =1 上 ， 且 出 于 简单 性 ， 有 接口 ID = 
1。 因 此 这 台 主 机 的 6to4 地 址 是 2002: C000: 282: 1:: 1。 这 个 地 址 将 以 手工 方式 配 
置 在 设备 上 或 以 自动 方式 进行 配置 (自动 配置 基于 设备 的 接口 ID 和 路 由 器 通告 
2002: C000: 282: 1:: /64 前缀) 。 类 似 地 ， 在 另 一 站 点 的 6to4 主机 处 在 子 网 ID =2 
E, 接口 D =1， 得 到 一 个 6to4 地 址 2002: C000: 283: 2:: 1。 


6to4 主 机 6to4 路 由 器 6to4 路 由 器 6to4 主 机 
v6 地 址 =W v4 地 址 =192.0.2.130 V4 地 址 =192.0.2.131 v6 地 址 =Z 
6to4 地 址 =2002:C000:282:1::1 v6 地 址 -X V6 地 址 =Y 。 6to4 地 址 =2002:C000:283 :2::1 


a v4 源 =177.9.168.130 


v6 =2002:C000:282: I1 | V4 目的 地 =177.9.168.131 [V6 源 =2002:C000:282:1::1 
v6 目的 地 =2002:C000:283 :2::1 v6 源 =2002:C000:282 :1::1 v6 目的 地 =2002:C000:283:2::1 
v6 目的 地 =2002 :C000:283 :2::1 


图 15-9 ”6to4 隧道 法 的 例子 [597 


对 应 于 这 些 6to4 地 址 的 AAAA 和 PTR 资源 记录 也 应 该 添加 到 合适 域内 的 DNS。 当 
通过 因特网 打 隧 道 时 ， 目 的 地 AAAA 和 PTR 记录 是 由 管理 相应 6to4 设备 的 每 个 组 织 机 
构 维 护 的 ， 解 析 会 要 求 沿 每 个 域 子 树 向 下 遍历 。AAAA 记录 遵循 正常 的 “转发 域 ”解析 
法 , 但 PTR 记录 有 点 不 是 那么 直接 。 因 为 PTR 域 树 是 基于 相应 IPv6 地 址 的 , 在 6to4 情 
形 中 这 种 地 址 是 组 织 机 构 依 据 它 的 IPv4 地 址 空间 “ 自 配 置 的 ”， 而 不 是 由 一 个 上 游 IPv6 
地 址 注册 机 构 分 配 的 ， 所 以 ip6. apra 委派 就 与 一 个 权威 的 上 游 父 域 没 有 关系 的 。 建 立 了 
一 个 特殊 的 注册 机 构 ， 处 理 来 自 2. 0.0.2. ip6. arpa 区 域 的 委派 : 号 码 资源 组 织 (NPO ) 。 
在 我 们 的 例子 中 ， 对 应 于 2002: C000: 283:: /48 前 级 的 ipv6. arpa 域 的 管理 员 们 ， 将 带 
有 6to4. nro. net 的 3. 8. 2. 0.0.0.0. C. 2.0.0. 2. ip6. arpa 区 域 和 对 应 的 权威 名 字 服 务 器 进 
行 注 册 。 

继续 将 讨论 回 到 报 文 流 ， 当 在 左 侧 的 我 们 的 主机 和 希望 与 右 侧 的 主机 通信 时 ， 一 次 
DNS 查询 将 解析 到 它 的 6to4 地 址 。 发 送 主 机 将 使 用 它 的 6to4 地 址 作为 源 地 址 ， 使 用 
目的 地 6to4 地 址 作为 目的 地 址 。 当 6to4 路 由 器 接收 到 这 条 报 文 时 ， 该 路 由 需 将 分 别 
使 用 它 的 〈 源 ) IPv4 地 址 和 男 一 个 6to4 路 由 器 的 (目的) IPv4 地 址 ， 将 报 文 封装 上 
一 个 IPv4 首部 。 接 收 到 这 条 报 文 的 目的 地 6to4 路 由 器 ， 将 报 文 解 封装 ， 并 将 之 在 它 
的 2002: C000: 283: 2:: /64 网 络 上 传输 到 目的 地 6to4 EHL, 

6to4 为 IPv6 主机 在 IPv4 网 络 上 进行 通信 提供 了 一 种 高 效 的 机 制 。 因 为 IPv6 网 络 
是 增 量 式 部 署 的 ， 则 6to4 中 继 路 由 器 ( 它 是 也 支持 6to4 的 IPv6 路 由 器 ) 可 被 用 来 从 
“sh” TPv6 网 络 上 的 主机 通过 IPv4 网 络 将 报 文中 继 到 IPv6 EHL 

但 是 ， 可 施用 相同 的 编 址 和 打 隧 道 的 方案 ，6to4 路 由 器 要 求知 道 6to4 中 继 路 由 
at, SMT ADS ey ay (纯粹 的 (native)) IPv6 地 址 映射 到 一 个 6to4 地 址 ， 便 于 打 
隧道 。 配 置 这 些 中 继 路 由 器 ， 有 三 种 方式 。 

(1) 配置 到 目的 地 纯 IPv6 网 络 的 路 由 ， 甚 中 以 6to4 中 继 路 由 器 作为 下 一 跳 。 这 
种 情形 如 图 15-10 所 示 。 
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表 
目的 地 :2001: DB8 :0:E1::/64 


表 
目的 地 :2001: DB8:0:E2::/64 
=> 下 一 跳 :2002:C000:282::Al 


=> 下 一 跳 :2001: DB8:0E2::Al 


6to4 主 机 6to4 中 继 路 由 器 IPv6 主 机 
v6 地 址 -2001: DB8:0:E1l::1 6to4 路 由 器 scald 9001. DB8: 0 .62 
dah 003. Cote te vy. VAHE 02130 v4 地 址 =192.0.2.131 v6 地 址 -2001: DB8:0:E2::E7 


.2782 ss v4 地 址 =192.88.99.1( 任 意 播 ) 
Oo 2 v6 地 址 =2001: DB8:0:E2:A1 


v4 源 =192.0.2.130 
v6 源 =2002:C000:282:1::1 v4 目的 地 =192.0.2.131 -| ”v6 源 =2002:C000:282:1::1 

v6 目的 地 =2001: DB8:0:E2:E7 | ”，_ 或 v4 目的 地 =192.88.99.1 _ v6 目的 地 =2001: DB8:0:E2::E7 
v6 源 =2002:C000:282 :1::1 

v6 目 的 地 =2001 :DB8:0:E2::E7 


图 15-10 6to4 主机 与 一 台 纯 粹 的 IPv6 主机 通信 [9] 


(2) 利用 正常 的 路 由 协议 ， 使 6to4 中 继 路 由 器 通告 到 IPv6 网 络 的 路 由 。 当 通告 
到 迁移 IPv6 网 络 或 内 部 的 IPv6 网 络 时 ， 可 应 用 这 种 场景 。 如 果 图 15-10 中 的 纯 IPv6 
网 络 是 “IPv6 互联 网 ”， 则 图 中 下 面 的 默认 路 由 选项 可 能 是 一 条 较 佳 的 可 选 路 由 。 

(3) 配置 到 6to4 中 继 路 由 器 的 一 条 默认 路 由 ， 可 到 达 IPv6 网 络 。 这 种 场景 可 应 
用 于 如 下 情况 ， 其 中 一 条 IPv6 因特网 连接 ， 仅 通过 一 个 IPv4 网 络 内 部 可 达 该 组 织 机 
构 ， 在 该 机 构 内 不 存在 或 几乎 不 存在 纯 IPv6 WOS, 

在 浏览 (walking through) 图 15-10 IF, 我们 在 图 左 侧 的 一 个 IPv4/IPv6 网 络 上 有 
一 台 6to4 主机 ， 它 有 一 个 纯粹 的 IPv6 地 址 和 一 个 6to4 地 址 。 这 台 主 机 开始 与 图 中 右 
侧 带 有 IP 地 址 2001: DB8: 0; 了 2:: E7 的 一 台 纯 粹 IPv6 主机 通信 。 当 查询 目的 地 主 
BLE IP 地址 时 ， 从 一 台 DNS 服务 器 返回 的 一 条 AAAA 资源 记录 响应 内 带 有 这 个 IPv6 
地 址 。 因 此 ， 我 们 在 左 侧 的 6to4 主机 ， 使 用 其 IPv6 或 6to4 (显示 出 的 ) 地 址 作为 源 
IP 地 址 (依据 主机 的 地 址 选择 策略 ) 并 使 用 目的 地 主机 的 IPv6 地 址 作为 目的 地 ， 形 
成 一 条 IPv6 报 文 。 

之 后 这 条 报 文 到 达 IPv4 网 络 云 左 侧 的 6to4 路 由 器 。 为 了 路 由 到 目的 地 2001 : 
DB8: 0: E2:: /64 网 络 ， 该 路 由 器 需要 有 一 条 路 由 表 项 ， 指 向 6to4 中 继 路 由 器 的 
6to4 地 址 ， 如 图 所 示 。 之 后 6to4 路 由 器 将 创建 一 条 到 相应 IPv4 地 址 的 一 条 自动 隧道 ， 
该 IPv4 地 址 被 包含 在 路 由 表 中 可 找到 的 6to4 地 址 的 第 17 ~48bit。 注 意 ， 就 像 刚才 讨 
论 的 ， 这 个 路 由 表 项 可 以 是 一 条 默认 路 由 ， 将 报 文 路 由 到 6to4 中 继 路 由 器 的 6to4 单 
播 地 址 ， 也 可 以 是 6to4 任意 播 地 址 。 
虽然 在 图 15-10 中 的 路 由 器 的 路 由 表 中 没有 给 出 ,但 图 示 在 Pv 网 络 云 之 下 的 
隧道 式 报 文 首部 ， 表 明 封 装 IPv6 报 文 的 目的 地 IPv4 地 址 ， 可 以 是 IPv4 单 播 地 址 或 对 
应 于 6to4 任意 播 地 址 的 IPv4 地 址 。 在 接收 到 IPv4 报 文 时 ，6to4 中 继 路 由 器 将 对 报 文 


= 


四 ”这 个 场景 的 一 种 变形 ， 要 求 将 下 一 跳 默 认 路 由 定义 为 6to4 中 继 路 由 器 任意 播 地 址 (用 于 IPv6 网 
络 ) 。 这 种 变形 支持 带 有 多 个 6to4 中 继 路 由 器 的 场景 。RFC 3068 (194) 为 6to4 中 继 路 由 器 定义 
了 一 个 任意 播 地 址 : 2002: C058: 6301:: /48。 这 个 地 址 对 应 于 IPv4 地 址 192. 88. 99. 1。 这 种 变 
形 也 形象 地 示 于 图 15. 10 之 中 。 
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解 封装 ， 之 后 将 纯粹 的 IPv6 报 文 传输 到 预期 的 接收 者 。 

在 相反 方向 上 ， 使 用 接收 者 的 6to4 地 址 作为 目的 地 IPv6 地 址 的 做 法 ， 将 通知 
6to4 中 继 ， 这 条 报 文 要 求 进行 对 应 的 6to4 路 由 器 打上 6to4 隧道 。 但 是 ， 如 果 目 的 地 
地 址 是 一 个 纯粹 的 IPv6 地 址 ， 则 在 6to4 中 继 路 由 器 内 的 路 由 表 必 须 包 含 对 应 6to4 路 
由 需 之 6to4 地 址 的 映射 作为 朝向 IPv6 主机 的 下 一 跳 。 

(1) 站 点 内 自动 化 打 隧 道 的 编 址 协议 (JSATAP) 。ISATAP 是 一 个 试验 型 的 协议 ， 
它 为 主机 到 路 由 器 、 路 由 器 到 主机 和 主机 到 主机 的 配置 场景 ,提供 IPv4 之 上 IPv6 的 
自动 化 打 隧 道 方 法 。 使 用 一 个 IPv4 地 址 来 定义 IPv6 地 址 的 接口 DD， 如 此 形成 ISATAP 
IPv6 地 址 。 接 口 ID 由 :: SEFE; a. b. c. dA, JE a. b. c d 是 点 分 十 进 制 IPv4 表示 
法 。 所 以 对 应 于 192. 0.2.131 的 一 个 ISATAP 接口 ID 表示 为 :: 5EFE: 192. 0.2. 131, 
IPv4 表示 法 提供 了 这 样 一 个 清晰 的 指示 ， 即 ISATAP 地 址 包含 一 个 IPv4 地 址 ， 而 并 不 
需要 将 IPv4 地 址 转换 为 十 六 进 制 。 这 个 ISATAP 接口 ID 可 被 用 作 一 个 正常 的 接口 ID， 
其 中 将 之 附加 到 所 支持 的 网 络 前 级 之 后 ， 如 此 定义 IPv6 地 址 。 例 如 ， 使 用 上 述 ISAT- 
AP 接口 ID 的 链 路 本 地 IPv6 地 址 是 FFE80:: SEFE; 192. 0.2.131。 

要 求 支 持 ISATAP 的 各 主机 维护 一 个 潜在 的 路 由 器 列表 (PRL) ， 在 每 台 路 由 器 
通告 一 个 ISATAP 接口 时 ,该 表 包 含 IPv4 地 址 和 关联 的 地 址 寿命 定时 器 。ISATAP 主 
机 通过 IPv4 之 上 的 路 由 器 请 求 (solicitation) 从 本 地 路 由 器 出 请 求 ISATAP 支持 信息 。 
请 求 目 的 地 需要 由 主机 加 以 识别 ， 方 法 是 预先 的 人 工 配 置 、 在 DNS 中 查找 带 有 主机 
名 “isatap” 的 路 由 器 或 使 用 一 个 DHCP 厂商 特定 选项 (指明 ISATAP 路 由 器 (可 能 
多 个 ) 的 IPv4 地 址 (可 能 多 个 ) ) DNS 技术 要 求 管理 员 们 使 用 isatap 主机 名 为 ISAT- 
AP 路 由 器 创建 资源 记录 。 

一 人 台 ISATAP 主机 将 采用 一 个 IPv4 首部 封装 IPv6 数据 报 文 ， 如 图 15-11 所 示 ， 它 
使 用 的 是 来 自 PRL 的 对 应 于 选中 路 由 器 的 IPv4 地 址 。 


一 


Tv6 主 机 


ISATAP 路 由 器 IPv6 路 由 名 
IPv4 地 址 =10.10.0.10 v4 地 址 =10.10.0.1 v6 地 址 =2001: DB8:0:1::FF01 v6 地 址 =2001:DB8:0:1::FFA1 
ISATAP 主 机 =2001: DB8::5EFE :10.10.0.10 
F = 1 
eh 1 v6 源 =2001: DB8::5EFE:10.10.0.10| |v6 源 =2001:DB8::5EFE:10.10.0.10 
E = J| v6 目的 地 =2001: DB8: 0 :1::FFA1 v6 目的 地 =2001: DB8:0:1::FFA1 


v6 源 =2001: DB8:5EFE:10.10.0.10 
v6 目的 地 =2001: DB8: 0 :1::FFAL 


图 15-11 ISATAP 主机 到 路 由 器 范例 [97] 


ISATAP 主机 可 使 用 配置 的 IPv4 地 址 自动 配置 它们 的 ISATAP 接口 ID ，IPv4 地 址 
可 能 是 静态 确定 的 或 通过 DHCP 得 到 的 。 如 果 配 置 有 IPv6 ， 微 软 XP 和 2003 服务 器 可 
实施 这 样 的 自动 配置 。 微 软 Vista 和 微软 7 客户 端 以 及 Windows 2008 服务 器 默认 地 支 
FF ISATAP 自动 配置 。ISATAP 接口 ID 被 附加 在 一 个 64bit 全 球 网 络 前 缀 之 后 ， 子 网 
ID 是 由 被 请 求 ISATAP 路 由 器 在 其 路 由 器 通告 中 提供 的 。 

按照 图 15-11， 在 图 左 侧 的 主机 使 用 DNS 识别 目的 地 主机 的 IP 地 址 ， 在 这 种 情 
形 中 是 一 个 IPv6 地 址 。 一 条 IPv6 报 文 将 由 主机 形成 ， 它 使 用 其 ISATAP IPv6 地 址 作 
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为 报 文 的 源 地 址 ， 目 的 地 IPv6 主机 地 址 作为 目的 地 地 址 。 这 条 报 文 是 封装 在 一 个 
IPv4 首部 中 的 ， 因 此 形成 一 条 自动 隧道 。 隧 道 源 地 址 被 设置 为 ISATAP 主机 的 IPv4 地 
址 ， 目 的 地 地 址 被 设置 为 ISATAP 路 由 器 的 IPv4 地 址 , 在 了 正 首 部 中 的 协议 字段 被 设 
置 为 十 进 制 的 41， 指 明 这 是 一 条 被 封装 的 IPv6 报 文 。ISATAP 路 由 器 不 必 和 主 机 位 于 
同一 个 物理 网 络 上 ， 隧 道 可 跨越 主机 和 ISATAP 路 由 器 之 间 的 一 个 通用 IPv4 网 络 (EE 
跳 或 多 跳 ) ISATAP 路 由 器 去 掉 IPv4 首部 ， 并 将 得 到 的 IPv6 报 文 路 由 到 目的 地 主机 ， 
使 用 的 是 正常 的 IPv6 路 由 。 

目的 地 主机 可 使 用 源 发 主机 的 ISATAP 地 址 ， 对 源 发 主机 做 出 响应 。 因 为 ISATAP 
地 址 包含 一 个 全 局 唯一 网 络 前 缀 / 子 网 也， 所 以 返回 的 目的 地 报 文 被 路 由 到 发 挥 作用 
(serving) 的 ISATAP 路 由 器 。 在 处 理 接口 ID 时 ，ISATAP 路 由 器 可 抽取 目的 地 主机 的 
IPv4 地 址 ， 并 以 到 源 发 主机 的 一 个 IPv4 首部 封装 该 IPv6 报 文 。 采 取 一 种 类 似 方式 ， 
图 15-11 右 侧 中 纯粹 IPv6 主机 可 发 起 到 ISATAP 主机 的 通信 。 从 右 到 左 ， 在 这 种 情形 
中 ，ISATAP 路 由 器 将 生成 到 主机 的 ISATAP 隧道 。 

主机 到 主机 的 ISATAP 隧道 ， 类似 于 图 15-7 中 给 出 的 隧道 ， 可 由 一 个 IPv4 网 络 
上 驻 留 的 ISATAP 主机 发 起 ， 其 中 一 个 链 路 本 地 (同一 子 网 ) 或 全 局 网 络 前 级 可 被 添 
加 在 每 台 主 机 ISATAP 接口 ID 之 前 作为 前 级 。 在 图 15-7 中 ，IPv6 Hoh W A Z 将 分 别 
代表 从 IPv4 地 址 A 和 D 形成 的 ISATAP 地 址 。 

(2) 6over4。6over4 是 一 种 自动 打 隧 道 技 术 ， 它 利用 了 IPv4 组 播 。 要 求 使 用 IPv4 
组 播 ，6over4 被 看 做 一 条 虚 链 路 层 或 虚拟 以 太 网 。 由 于 采用 了 虚拟 链 路 层 的 观点 ， 所 
以 形成 IPv6 地 址 时 使 用 了 一 个 链 路 本 地 范围 (FE80:: /10 前 级 )。 一 台 主 机 的 IPv4 
地 址 组 成 了 其 IPv6 地 址 的 6over4 接口 ID 部 分 。 例 如 ， 带 有 IPv4 地 址 192. 0. 2. 85 的 
一 台 6over4 主机 将 形成 一 个 IPv6 接口 ID:: C000: 255， 因 此 形成 一 个 6over4 地 址 
FE80:: C000: 255。6over4 隧道 可 以 是 主机 到 主机 、 主 机 到 路 由 器 和 路 由 器 到 主机 等 
形式 ， 其 中 相应 的 主机 和 路 由 器 必须 被 配置 支持 60over4。 使 用 相应 的 IPv4 组 播 地 址 ， 
将 IPv6 报 文 以 隧道 方式 打 在 IPv4 首部 之 内 。 组 播 组 的 所 有 成 员 接收 到 打 过 隧道 的 报 
文 ， 因 此 这 类 似 于 虚拟 链 路 层 ， 预 期 的 接收 者 去 掉 IPv4 首部 并 处 理 IPv6 报 文 。 只 要 
至 少 有 一 台 IPv6 路 由 器 也 运行 60ver4 ， 它 通过 IPv4 组 播 机 制 是 可 达 的 ， 则 该 路 由 器 
就 被 用 作 一 个 隧道 端点 ， 通 过 IPv6 路 由 报 文 。 

6over4 支持 IPv6 组 播 和 单 播 ， 所 以 各 主机 可 实施 IPv6 路 由 器 和 邻居 发 现 ,来 定 
位 IPv6 路 由 器 。 当 以 隧道 方式 传输 IPv6 组 播 消 息 时 ， 例 如 为 了 进行 邻居 发 现 ， 则 
IPv4 目的 地 地 址 格式 为 239. 192. Y. Zz， 其 中 Y Fil Z 是 IPv6 组 播 地 址 的 最 后 两 个 字 节 。 
因此 到 所 有 路 由 器 链 路 范围 的 组 播 地 址 FF02:: 2 的 一 条 IPv6 消息 ， 将 以 隧道 方式 被 
传输 到 IPv4 目的 地 239. 192. 0.2。6over4 主机 使 用 因特网 组 成 员 协 议 (IGMP) 将 组 
播 组 成 员 关 系 通知 IPv4 路 由 器 。 

(3) 隧道 代理 。 隧 道 代理 为 Pv 网 络 之 上 自动 打 隧 道 法 ,提供 了 男 一 项 技术 。 
隧道 代理 管理 (代理) 来自 双 栈 客户 端 和 隧道 代理 服务 器 (它们 连接 到 预期 的 IPv6 
网 络 ) 的 隧道 请 求 。 尝 试 访问 一 个 IPv6 网 络 的 双 栈 客户 端 可 有 选择 地 被 定向 到 一 个 
隧道 代理 web 门户 ， 要 输入 认证 机 密 信 息 ， 以 此 授权 代理 服务 的 使 用 权 。 隧 道 代 理 也 
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为 授权 范围 管理 证 书 。 客 户 端 也 为 其 隧道 未 端 提供 了 IPv4 地 址 ， 还 有 客户 端的 期 望 
FQDN 、 所 请 求 IPv6 地 址 的 数量 以 及 客户 端 是 一 台 主 机 还 是 一 台 路 由 需 。 

一 旦 被 授权 ， 隧 道 代理 就 实施 多 项 任务 来 代理 隧道 的 创建 生成 。 

1) 指派 并 配置 一 台 隧 道 服务 器 ， 将 所 选中 的 隧道 服务 器 通知 新 的 客户 端 。 

2) 依据 所 请 求 的 地 址 数量 和 客户 端 类 型 (路 由 器 或 主机 ) ， 向 客户 端 指派 一 个 
IPv6 地 址 或 前 级 。 

3) 在 DNS 中 注册 客户 端 FQDN。 

4) 将 客户 端 被 指派 的 隧道 服务 器 和 相关 联 的 隧道 、IPv6 参数 (包括 地 址 /前 绥 
和 DNS 名 ) 通知 客户 端 。 

在 图 的 顶部 ， 图 15-12 形象 地 说 明了 客户 端 -隧道 代理 的 交互 通信 ， 在 下 面 显示 
所 得 到 的 客户 端 和 所 指派 隧道 服务 器 之 间 的 隧道 。RFC 55720 批准 隧道 建立 协议 
(TSP) ， 其 中 促进 形成 了 通用 的 隧道 建立 消息 和 组 件 交互 通信 。 


隧道 代理 
IPv4 网 络 


Á 


DNS 服务 器 


隧道 客户 端 
隧道 服务 器 
IPv6 网 络 
隧道 客户 端 


隧道 服务 器 
Z| 15-12 ”隧道 代理 交互 通信 [471 


(4) Teredo。 通 过 实施 网 络 地 址 转换 的 防火 墙 打 隧道 ， 如 果 从 设计 上 不 是 不 可 能 
的 话 ， 那 么 也 是 具有 挑战 性 的 。Teredo 是 一 项 隧道 代理 技术 ， 它 支持 在 IPv4 之 上 将 
TPv6 报 文 以 UDP 上 的 隧道 方式 进行 传输 而 穿越 NAT， 针 对 的 是 主机 到 主机 的 自动 打 
隧道 情形 。 为 了 便利 NAT/ 防 火 墙 穿越 ，Teredo 集成 了 附加 的 UDP 首部 ( 见 图 
15-13), FE NAT/ 防 火 墙 设备 将 不 允许 带 有 报 文 首部 协议 字段 设置 为 41 (依据 前 面 
所 述 ， 这 是 针对 IPv6 隧道 法 而 设 的 ) 的 IPv4 报 文通 过 。 附 加 的 UDP 首部 进一步 将 隧 
if “HHA” (buries) ， 以 便 支 持 它 穿越 通过 NAT/ 防 火 墙 设备 ， 多 数 这 种 设备 均 支 持 
UDP 端口 转换 。 

Teredo 是 在 RFC 438055 中 定义 的 ， 目 的 是 提供 “TIPv6 接 入 的 最 无 奈 手 段 ” (last 
resort) (这 是 由 于 它 具 有 额外 负担 ) ， 但 当 支 持 6to4 路 由 器 或 支持 IPv6 的 防火 墙 路 由 
器 得 以 部 署 时 ， 将 用 得 越 来 越 少 。Tereo 要 求 如 下 元 素 (element), ， 如 图 15-14。 
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IPv6 首 部 TCP/UDP 


IPv4 首 部 UDP IPv6 首 部 TCP/UDP 


15-13 Teredo 隧道 添加 一 个 UDP 首部 ， 之 后 再 添加 IPv4 首部 (151] 


Teredo 服务 器 


IPv6 主 机 


Teredo 客户 端 Teredo 中 继 


15-14 Teredo 客户 端 到 IPv6 主机 的 连接 7] 


1) Teredo 客户 端 。 

2) Teredo 服务 器 。 

3) Teredo 中 继 。 

Teredo 打 隧 道 过 程 开 始 时 ， 一 个 Teredo 客户 端 实施 一 个 资格 证 明 过 程 来 发 现 最 接 
近 预 期 目的 地 IPv6 主机 的 一 台 Teredo 中 继 ， 并 识别 正在 工作 的 NAT 防火 墙 类 型 。Te- 
redo 中 继 是 Teredo 隧道 端点 ， 它 服务 预期 的 目的 地 主机 。Teredo 主机 必须 提前 配置 这 
A Teredo 服务 器 IPv4 地 址 以 便 使 用 ， 这 会 帮助 建立 Teredo 连接 。 

确定 最 近 Teredo 中 继 的 过 程 ， 包 括 将 一 条 IPv6 ping (ICMPv6 echo request (回声 
请 求 ) ) 发 送 到 目的 地 主机 。ping 被 一 个 UDP 和 IPv4 首部 封装 ， 并 发 送 到 Teredo 服 
务 器 ， 服 务 器 对 报 文 解 封装 ， 将 纯粹 的 ICMPv6 报 文 发 送 到 目的 地 。 目 的 地 主机 的 响 
应 将 通过 纯粹 的 IPv6 被 路 由 到 最 近 的 (路 由 角度 来 说 ) Teredo 中 继 ， 之 后 发 回 源 发 
主机 。 在 这 种 方式 中 ,客户 端 依据 其 IPv4 和 UDP [隧道 ] 首部 ， 确 定 合适 的 Teredo 
中 继 的 IPv4 地 址 和 端口 。 图 15-14 形象 地 说 明了 这 种 情形 ， 其 中 一 个 Teredo 客户 端 
正 与 一 台 纯 粹 的 IPv6 主机 通信 。 

(5) NAT 类 型 。 将 被 穿越 NAT 的 类 型 驱动 得 到 这 样 的 需要 ， 即 实施 一 个 额外 步 
BR, MEIZ NAT 设备 初始 化 Teredo 客户 端 和 IPv6 主机 之 间 数 据 交换 的 表 上 映射。 定义 了 
如 下 NAT 类 型 . 

1) 全 锥 面 (Full cone) 。 来 自 相 同 内 部 IP 地 址 和 端口 的 所 有 IP 报 文 ， 都 被 映射 
到 一 个 相应 的 外 部 地 址 和 端口 。 通 过 传输 到 被 映射 的 外 部 地 址 和 端口 ， 外 部 主机 是 可 
与 主机 通信 的 。 

2) 受 限 锥 面 (Restricted Cone) 。 来 自 相 同 内 部 IP 地 址 和 端口 的 所 有 IP 报 文 ， 
都 被 映射 到 一 个 相应 的 外 部 地 址 和 端口 。 仅 当 内 部 主机 以 前 向 外 部 主机 发 送 过 一 条 报 
文 ， 一 台 外 部 主机 才能 与 这 台 内 部 主机 通信 。 
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3) 端口 受 限 锥 面 (Port Restricted Cone) 。 来 自 相 同 内 部 IP 地 址 和 端口 的 所 有 IP 
报 文 ， 都 被 映射 到 一 个 相应 的 外 部 地 址 和 端口 。 仅 当 内 部 主机 以 前 向 外 部 主机 发 送 过 


一 条 报 文 ， 并 使 月 


4) 对 称 的。 从 一 个 给 定 的 内 部 IP 地 址 和 端 
口 的 所 有 报 文 ， 被 映射 到 一 个 特定 的 卫 地 址 和 端口 。 来 自 相同 主机 IP 地 址 和 端口 的 
报 文 ， 发 送 到 一 个 不 同 的 目的 地 IP 地 址 或 端口 ， 
口 映 射 。 仅 当 内 部 主机 以 前 向 外 部 主机 发 送 过 一 条 报 文 ， 并 使 用 外 部 主机 的 地 址 和 相 
同 端口 号 ， 外 部 主机 才能 与 内 部 主机 通信 。 


右 侧 栏 给 出 的 相应 被 允许 进入 流量 。 首 先 考 虑 全 鲁 


表 15-1 形象 地 说 明了 这 些 不 同 的 NAT 类 型 


昌 外 部 主机 的 地 址 和 相同 端口 号 ， 外 部 主机 才能 与 内 部 主机 通信 。 


口 发 送 到 一 个 特定 外 部 IP 地 址 和 端 


会 得 到 一 个 不 同 的 外 部 卫 地 址 和 端 


。 依 据 针 对 每 种 情形 给 出 的 外 发 流 
量 ，NAT 将 内 部 地 址 和 端口 映射 到 一 个 指派 的 外 部 地 址 和 端口 ; 接 下 来 这 得 到 表 中 


E 面 范例 ， 带 有 IP 地 址 10. 10.0.1 


的 一 台 内 部 主机 ， 使 用 源 端 口 10081， 通 过 NAT 发 起 一 次 会 话 。 在 从 NAT 外 发 的 报 
XE, NAT 将 原始 10. 10.0.1 源 IP 地址 映射 为 192.0.2.1。NAT 也 在 外 发 报 文 上 指派 
端口 号 43513 ， 并 为 返回 到 IPv4 内 部 主机 的 内 部 分 支 (流量 ) 指派 端口 号 42512 ( 任 
何 高 序号 的 端口 ) 。 因 此 ，NAT 终止 第 一 条 连接 ， 并 将 之 桥接 到 另 一 条 连接 上 ; 第 一 
条 连接 是 (10.10.0.1: 10081 < NAT IP 地 址 :42512 )， 而 第 二 条 连接 是 


(192. 0.2. 1: 43513 A 


原始 报 文 的 目的 地 TP 地 址 : 来 自 


表 15-1 NAT 类 型 


原始 报 文 的 目的 地 端口 ) 。 


外 发 流量 被 允许 的 进入 流量 

内 部 主机 一 外 部 主机 NAT 映射 外 部 主机 一 内 部 主机 
全 锥 面 源 目的 地 内 部 e 外 部 源 目的 地 
IP 地 址 10.10.0.1 | 任意 10.10.0.1 | 192.0.2.1 | 任意 192. 0.2.1 
端口 10081 任意 42512 43513 任意 任意 
受 限 锥 面 源 目的 地 内 部 e 外 部 源 目的 地 
IP 地 址 10.10.0.1 | 203.0.113.8 | 10.10.0.1 | 192.0.2.1 | 203.0.113.8 | 192.0.2.1 
端口 10081 任意 42512 43513 任意 任意 
端口 受 限 锥 面 | 源 目的 地 内 部 e 外 部 源 目的 地 
IP 地 址 10. 10.0.1 | 203.0.113.8 | 10.10.0.1 | 192.0.2.1 | 203.0.113.8 | 192.0.2.1 
端口 10081 80 42512 43513 80 任意 
对 称 的 源 目的 地 内 部 “会 外 部 源 目的 地 
IP 地 址 10. 10.0.1 | 203.0.113.8 | 10.10.0.1 | 192.0.2.1 | 203.0.113.8 | 192.0.2.1 
端口 10081 80 42512 43513 80 43513 

基于 这 条 内 部 发 起 的 公报 (communique) ( 译 者 注 : 感觉 是 通信 ， 原 文 错 
误 )， 任 一 台 外 部 主机 均 可 发 起 到 IP 地 址 192. 0.2.1 的 一 条 报 文 ， 由 此 内 部 连接 


到 10. 10. 0. 1 主机 。 这 表示 为 表 右 侧 的 被 允许 进入 流量 之 下 。 在 全 狼 


面 情形 中 ， 


来 自 一 台 外 部 主机 的 一 条 进入 报 文 ， 它 源 于 任何 IP 地 址 或 端口 ( 源 地 址 = 任意 ， 
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= 任意 ) ， 且 目的 地 耳 地 址 为 192.0.2.1 的 任何 端口 上， 这 样 的 报 文 都 将 被 


w SIE 
xa OO 


o 


将 这 种 情形 与 表 底 部 的 对 称 情 形 比 对 一 下 ， 在 对 称 情 形 中 ， 一 台 在 IP 地址 
10. 10. 0.1 上 的 主机 使 用 源 端 口 10081 ， 发 起 到 目的 地 IP 地址 203. 0. 113. 8 端口 80 
的 一 条 连接 。NAT 终止 这 条 连接 ， 并 发 起 到 给 定 目的 地 地 址 和 端口 的 一 条 外 部 连 
接 ， 将 源 IP 地 址 映射 到 192. 0. 2. 1 、 端 口 映 射 到 43513 。 在 这 种 情形 中 ， 被 允许 穿 
过 NAT 的 仅 有 可 接受 进入 流量 ， 将 具有 一 个 源 地 址 和 端口 组 合 203. 0. 113. 8: 80, 
目的 地 地 址 和 端口 组 合 192. 0.2.1: 43513， 这 是 依据 来 自 源 发 主机 的 通信 进行 映 
射 得 到 的 。 

受 限 锥 面 配 置 法 将 原始 目的 地 IP 地 址 映射 为 被 允许 的 ， 即 当 相 应 目的 地 IP 地 址 
Æ NAT 映射 的 地 址 (在 这 个 例子 中 是 192. 0.2.1) 时 , 来 自 外 部 空间 的 后 续 进 入 源 
IP 地 址 (203. 0. 113.8) 为 允许 的 。 端 口 受 限 场景 加 入 了 端口 有 效 性 检查 ， 方 法 是 当 
相应 目的 地 IP 地 址 和 端口 匹配 NAT 映射 到 地 址 (在 这 个 例子 中 是 192. 0.2.1) 时 ， 
将 来 自 外 部 空间 (203. 0. 113.8: 80) 的 后 续 进 入 IP 地 址 和 端口 是 允许 的 。 

为 了 使 用 Teredo 进行 通信 并 建立 防火 墙 穿越 ， 这 种 NAT 类 型 驱动 Teredo 初始 化 
过 程 。 当 是 全 锥 面 时 ，NAT 的 识别 不 要 求 进 一 步 的 合格 性 检查 ， 原 因 是 任何 外 部 主 
机 可 发 起 到 其 外 部 地 址 的 通信 。 但 无 论 哪 种 受 限 锥 面 场 景 都 要 求 进一步 的 合格 性 检 
查 ， 以 便 合适 地 将 地 址 和 目的 地 地 址 映射 到 NAT 内 的 那些 对 应 的 地 址 和 目的 地 。 为 
了 完成 NAT 内 部 主机 与 目的 地 主机 通信 的 映射 ，Teredo 客户 端 将 一 条 冒 泡 (bubble) 
报 文 发 送 到 目的 地 主机 。 一 个 冒 泡 报 文 是 没有 净 荷 的 一 个 IPv6 首部 ， 它 被 封装 在 Te- 
redo 隧道 IPv4/UDP 首部 之 中 。 针 对 端口 受 限 锥 面 场景 ， 它 使 NAT 能 够 完成 内 部 和 外 
部 卫 地 址 、 内 部 和 外 部 端口 号 的 映射 。 

一 般 而 言 ， 冒 泡 报 文 是 从 源 Teredo 客户 端 直接 发 送 到 目的 地 主机 的 。 但 如 果 目 
的 地 主机 也 位 于 一 个 防火 墙 之 后 ， 那 么 就 丢弃 冒 泡 报 文 ,， 原因 是 这 是 一 条 未 被 请 求 
(unsolicited) 的 外 部 报 文 。 在 这 种 情形 中 ，Teredo 客户 端 超时 ， 并 通过 Teredo IR 4h 
发 送 冒 泡 报 文 ， 该 服务 器 是 由 预期 目的 地 Teredo 格式 的 IPv6 地 址 加 以 识别 的 ， 由 该 
地 址 对 Teredo IPv4 地 址 编码 。 

假定 目的 地 主机 也 是 一 台 Teredo 客户 端 ， 它 将 接收 该 报 文 ， 它 已 经 在 客户 端 配 
置 过 程 中 ， 由 一 条 以 前 发 送 到 这 人 台 Teredo 服务 器 的 ping 进行 了 初始 化 。 之 后 目的 地 
主机 将 直接 对 源 发 主机 做 出 响应 ， 这 就 完成 了 NAT 映射 (在 两 端 都 是 如 此 )。 图 
15-15 形 象 地 说 明了 这 个 场景 ， 其 中 两 台 Teredo 客户 端 通过 一 个 共同 的 Teredo 中 继 进 
行 通信 。Teredo 不 支持 对 称 NAT 设备 的 自动 穿越 。 

如 我 们 看 到 的 ，Teredo IPv6 地 址 的 格式 带 有 客户 端 及 其 服务 器 Teredo 服务 器 的 
IPv4 地 址 。Teredo IPv6 地 址 的 格式 如 图 15-16 所 示 。 

Teredo 前 级 是 一 个 预先 定义 的 IPv6 前 级 : 2001:: /32。Teredo 服务 器 的 IPv4 地 
址 组 成 了 接 下 来 的 32bit。 各 标志 指明 NAT 类 型 为 全 锥 面 (十 六 进 制 =8000) 或 受 限 
的 或 端口 受 限 的 (十 六 进 制 =0000)。 客 户 端 端口 和 客户 端 IPv4 地 址 字段 表示 这 些 对 
应 值 混 杂 后 的 值 ， 采 取 的 方法 是 将 每 个 比特 值 取 反 。 
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IPv4/IPv6 网 络 
CC | 


到 15-15 通过 IPv4 因特网 进行 通信 的 两 台 Teredo A int 


31 32 63 64 79 80 95 96 


115-16 Teredo IPv6 地 址 格式 151 


15.3.3 IPv6 网 络 上 传输 IPv4 报 文 的 打 隧 道场 景 


在 一 个 IPv6 实现 过 程 中 ,在 IPv6 网 络 上 的 一 些 IPv6 客户 端 可 能 仍然 需要 与 IPv4 
网 络 (例如 因特网 ) 上 的 IPv4 应 用 或 主机 进行 通信 。 在 IPv6 网 络 上 对 IPv4 报 文 打 隧 
道 ， 就 为 保留 这 条 通信 路 径 提 供 了 一 种 方法 。 

(1) 双 栈 迁移 机 制 (DSTM) 。DSTM 提供 了 在 IPv6 网 络 上 对 IPv4 报 文 打 隧道 的 
一 种 方法 ， 报 文 最 终 是 发 送 到 目的 地 IPv4 网 络 和 主机 的 。 打 算 与 IPv4 主机 通信 的 
IPv6 网 络 上 的 主机 ， 将 要 求 具 备 双 栈 ， 同 时 是 一 个 DSTM 客户 端 。 在 使 用 DNS 将 预 
期 目的 地 主机 的 主机 名 仅 解析 到 一 个 IPv4 地 址 时 ， 客 户 端 将 发 起 DSTM 过 程 ， 这 非 
常 类 似 于 隧道 代理 方法 。 过 程 开始 时 ，DSTM 联系 一 台 DSTM 服务 器 ， 以 便 得 到 一 个 
IPv4 地 址 (这 里 首选 通过 DHCPv6 协议 ?>) 和 DSTM 网 关 的 IPv6 地 址 。IPv4 地 址 被 用 
作 将 被 传输 的 数据 报 文 的 源 地 址 。 这 条 报 文 被 封装 一 个 IPv6 首部 ， 使 用 的 是 DSTM 
客户 端的 源 IPv4 地 址 ，DSTM 网 关 的 IPv6 地 址 作为 目的 地 址 。IPv6 首部 中 的 下 一 首 
部 字段 指明 采用 这 种 “4over6” 隧道 方法 的 一 条 被 封装 IPv4 报 文 。 

DSTM 的 一 个 变形 支持 纯粹 (native) 网 络 之 外 一 台 DSTM 客户 端 〈 例 如 一 名 在 
家 工作 的 工作 人 员 (home-based worker) ) 基于 VPN 法 的 访问 。 在 这 个 场景 中 ,假定 
DSTM 客户 端 得 到 一 个 IPv6 地 址 ， 但 得 不 到 IPv4 地 址 ， 它 就 能 够 连接 到 该 DSTM 服务 
器 来 得 到 一 个 IPv4 地 址 。 这 种 访问 方法 要 求 认证 ， 才 能 建立 DSTM 客户 端 和 DSTM 网 
关 之 间 的 一 条 VPN。 


© 虽然 DSTM RFC 草案 (1 指明 DHCPv6 作为 得 到 一 个 IPv4 地 址 的 首选 方法 ， 但 DHCPv6 目前 还 没 
有 定义 以 本 地 方法 或 通过 一 个 选项 设置 而 指派 IPv4 地 址 的 过 程 或 方法 。 
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15. 3. 4 


DSTM 客 户 端 


DSTM 服 务 器 


DSTM 网 关 


IPv4 网 络 


图 15-17 DSTM 隧道 建立 i14] 


隧道 法 总 结 


IPv4 主 机 


IPv4 主 机 


依据 源 主机 能 力 / 网 络 类 型 以 及 目的 地 地 址 解析 和 网 络 类 型 ， 下 表 汇 总 了 打 隧 道 


方法 的 可 施用 性 和 范围 (applicability) 。 
到 (to) 
在 IPv4 网 | IPv4 网 络 | IPv6 网 络 | IPv6 网 络 
IPv4 W 2 IP ż 
Acom) | i E 络 上 的 双核 目 | 上 的 双 栈 目的 | 上 的 双 本目 的 | EABAR EAS y pa r 
的 地 的 地 ,解析 到 | 地 ,解析 到 | 地 ,解析 为 | 地 ,解析 为 的 地 
IPv4 地 址 IPv6 地 址 IPv4 地 址 IPv6 地 址 
IPv4 网 络 
纯粹 的 IPw 
上 的 IPv4 客 | 纯粹 的 IPv4| 纯粹 的 IPv4 se 
oa ig >IPv4 兼容 的 
ri 
IPv4 网 络 主机 到 主 i 主机 到 路 由 | ”主机 到 路 由 
上 的 双 栈 客 | 纯粹 的 IPv4| HEREN Ia] HL P 之 上 | |v IP 之 上 | RE, Pd 之 上 
户 端 的 TPv6® ” “的 IP6o 的 IPv6 
纯粹 的 IPv6 
IPv6 网 络 i 
DSTM 一 纯 DSTM 一 纯 | 一 路 由 器 主 
i k% 纯粹 的 Rete 
ae 双 栈 客 粹 的 IE 次 的 IPw4 机 , Pa 之 上 DSTM 纯粹 的 IPv6| ”纯粹 的 IPv6 
的 IPv6® 
IPv6 网 络 纯粹 的 IPv6 
上 的 Pw 客 一 JPv4 之 上 纯粹 的 IPv6| ”纯粹 的 IPv6 
Piin 的 IPv6® 
D 解析 到 一 个 IPv6 地 址 的 可 能 是 一 个 纯粹 的 IPv6 地 址 ， 或 一 个 6to4 ISATAP, Teredo, 6over4 或 IPv4 


AS AY 


地 址 。 主 机 必须 依据 它 对 相应 3 


技术 的 支持 ， 来 选择 目的 地 地 址 。 
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在 表 左 上 角 和 右 下 角 的 单元 (cel) 表明 从 端 到 端 使 用 纯粹 的 IP 版 本 。 不 同 
(opposite) 协议 的 任何 中 间 (intervening) 网 络 必 须 通过 一 条 路 由 器 到 路 由 器 的 隧道 
以 隧道 方式 穿 过 ， 或 在 每 个 边界 处 使 用 一 种 转换 技术 进行 转换 ， 在 下 一 节 讨 论 。 

其 他 单元 表明 一 种 打 隧 道 的 场景 。 "一 ”符号 代表 网 络 内 的 一 个 转换 点 或 打 隧 道 
的 端点 ， 该 点 处 将 相应 的 纯粹 协议 转换 为 一 个 隧道 协议 或 反之 亦 然 。 

空白 单元 指明 通过 隧道 方式 的 一 种 无 效 连接 。 但 是 ， 可 采用 转换 技术 来 桥接 这 些 

连接 间隙 (gap) ， 我 们 将 在 后 面 讨论 。 


15.4 转换 方法 


转换 技术 在 协议 栈 的 一 个 特定 层 实施 IPv4 到 IPv6 转换 (和 相反 情况 ) ， 典 型 情 
况 下 有 网 络 层 、 传 输 层 或 应 用 层 。 打 隧道 法 不 改变 隧道 内 的 数据 报 文 ， 仅仅 是 附加 一 
个 首部 或 两 个 首部 ， 与 此 不 同 的 是 ， 转 换 机 制 确实 要 在 IPv4 和 IPv6 相互 之 间 修 改 或 
转换 IP IRC, MM, TERM SCH IPv6 A BAM SC HE IPv4 的 节点 之 间 通 信 的 一 个 
环境 中 ， 建 议 使 用 转换 方法 ; 即 ， 对 于 上 面 汇 总 表 中 空白 单元 的 场景 采用 这 种 方法 。 
在 双 栈 环境 中 ， 首 选 纯粹 的 或 打 隧道 机 制 2 。 


15.4.1 无 状态 IP/ICMP 转换 算法 


转换 IPv4 和 IPv6 报 文 的 常用 算法 是 无 状态 的 IP/ICMP 转换 (SIT) 算法。SIIT 
提供 了 IPv4 和 了 JPv6 之 间 I 了 P 报 文 首部 的 转换 。SIIT 驻 留 在 一 台 IPv6 主机 或 网 关上 ， 将 
外 发 IPv6 报 文 首部 转换 为 IPv4 首部 ， 将 进入 的 IPv4 首部 转换 为 IPv6 首部 。 为 了 实施 
这 项 任务 ， 必 须 向 IPv6 主机 提供 一 个 IPv4 地 址 ， 可 以 是 配置 在 该 主机 上 的 ， 或 通过 
在 RFC 2765 ® 中 未 指派 的 一 项 网 络 服务 得 到 的 。 当 IPv6 主机 期 望 与 一 台 IPv4 主机 
通信 时 ，SIIT 算法 将 IPv6 报 文 首部 转换 为 IPv4 首部 格式 。SIIT 算法 识别 这 样 一 种 情 
形 ， 其 中 当 IPv6 地 址 是 一 个 IPv4 映射 的 地 址 时 的 情况 ， 其 格式 如 图 15-18 所 示 。 将 
所 解析 IPv4 地 址 转换 为 一 个 IPv4 映射 地 址 的 机 制 ， 由 协议 栈 肿 块 ( bump- in-the- 
stack, BIS) 或 API 肿块 (bump-in-the-API，BIA) 技术 加 以 提供 ， 后 面 描述 这 些 
技术 。 


0 79 80 95 96 127 


ae FFFF IPv4 地 址 
(80bit) (16bit) (32bit) 


Al 15-18 IPv4 映射 的 地 址 格式 1521 


依据 存在 IPv4 映射 地 址 格式 作为 目的 地 IP 地址 的 情况 ，SIIT 实施 首部 转换 (下 
面 描述 ) ， 来 得 到 通过 数据 链 路 和 物理 层 进行 传输 的 一 条 IPv4 报 文 。 一 个 IPv6 节点 
的 源 IP 地 址 使 用 一 个 不 同 的 格式 ， 即 IPv4 转换 的 格式 ， 如 图 15-19 Pras, 但 RFC 
2765 却 没有 规范 这 个 地 址 最 初 是 如 何 配置 的 。 


”依据 的 是 RFC 27661561 
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0 63 64 79 80 95 96 127 


a IPv4 地 址 
(64bit) (32bit) 


Al 15-19 Æ SIT 内 使 用 的 IPv4 转换 的 地 址 格式 
SUT 算法 的 一 种 潜在 可 能 的 协议 栈 视图 如 图 15-20 所 示 。 
两 个 方向 的 基本 首部 转换 过 程 汇 总 如 下 。 


IPv4—IPv6 首部 转换 IPv6 一 IPv4 首部 转换 
版 本 =6 版 本 =4 
流量 类 = IPv4 首部 TOS 比特 首部 长 度 =5( 没 有 IPv4 选项 ) 
流标 签 =0 服务 类 型 = IPv6 首部 流量 类 字段 
ape BE = IPv4 首部 总 长 度 值 - (IPv4 首部 长 度 + 总 长 度 = IPv6 首部 净 荷 长 度 字 段 + IPv4 首部 长 
IPv4 选项 长 度 ) 度 
标识 =0 
下 一 个 首部 = IPv4 首部 协议 字段 值 标志 = 不 分 段 =1 ,更 多 分 段 =0 
跳 限 制 = IPv4 TTL 字段 值 -1 分 段 偏 移 =0 
源 耻 地 址 =0:0:0:0:FFFF::/96 与 IPv4 首部 源 IP 


地 址 串 接 TTL = IPv6 跳 限制 字段 值 -1 


协议 = IPv6 下 一 个 首部 字段 


的 地 下 地 址 =0:0:0:0:0:FFFF;:/96 5j IPv4 首 ee ae 
部 目的 地 IP 地 址 串 接 首部 校 验 和 = 在 IPv4 首部 上 计算 得 到 的 


源 IP 地 址 =IPv6 W IP 地 址 字段 (IPv4 转换 的 
地 址 ) 的 低 32bit 
目的 地 下地 址 =IPv6 目的 地 IP 地 址 字段 (IPv4 
映射 的 地 址 ) 的 低 32bit 
选项 = 无 


现在 让 我 们 看 看 采用 SIT 算法 转换 IPv4 和 IPv6 报 文 的 一 些 技术 。 
15.4.2 协议 栈 中 的 肿块 


协议 栈 中 的 肿块 (BIS) "1 使 主机 利用 卫 v4 应 用 在 IPv6 网 络 上 进行 通信 。BIS I 
探 TCP/IPv4 模块 和 链 路 层 设 备 (例如 网 络 接口 卡 ) 之 间 的 数据 流 ， 并 将 IPv4 报 文 转 
换 到 IPv6。BIS 的 各 组 件 如 图 15-21 所 示 。 

依据 SUT 算法 ， 转 换 器 组 件 将 IPv4 首部 转换 到 一 个 IPv6 首部 。 扩 展 名 字 解 析 器 
嗅 探 A 记录 类 型 的 DNS 查询 ; 在 检测 到 这 样 的 一 条 查询 时 ， 扩 展 名 字 解 析 器 组 件 就 
针对 同一 主机 域名 (Qname) 和 类 (Qclass), 产生 查找 AAAA 记录 类 型 的 一 条 附加 
查询 。 如 果 从 AAAA 查询 没有 接收 到 肯定 的 应 答 ， 那 么 通信 接 下 来 使 用 IPv4; 如 果 
AAAA 查询 被 成 功 地 解析 ， 那 么 扩展 名 字 解 析 器 就 指令 地 址 映射 器 组 件 将 返回 的 IPv4 
地 址 (A 记录 ) 与 返回 的 IPv6 地 址 (AAAA 记录 ) 关联 。 如 果 仅 接收 到 一 条 AAAA 
响应 ， 那 么 地 址 映射 器 就 从 一 个 内 部 配置 的 地 址 池 中 指派 一 个 IPv4 地 址 。 
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应 用 


TCP/UDP 


l 
1 
IPv4 l 
l 
l 
1 
JIPv l 
-a ee eee eee eee eee ee ee ee es os 
数据 链 路 
物理 物理 
图 15-20 SIT Bayt fi)" 图 15-21 协议 栈 中 肿块 (BIS) 2A 4 


为 了 沿 协议 栈 向 请 求 对 A 查询 解析 的 应 用 提供 一 个 响应 ， 需 要 IPv4 地 址 。 因 此 ， 
地 址 映射 器 维护 真实 或 自 指派 的 IPv4 地 址 与 目的 地 了 Pv6 地 址 的 关联 关系 。 之 后 目的 
地 为 那个 IPv4 地 址 的 任何 数据 报 文 ， 由 转换 器 转换 为 Pv6 报 文 ， 以 便 通 过 IPv6 网 络 
进行 传输 。 

在 BIS 主机 接收 到 从 一 台 外 部 主机 〈 还 没有 被 映射 ) 发 起 的 一 条 IPv6 报 文 的 情 
形 中 ， 地 址 映射 器 将 从 其 内 部 地 址 池 指 派 一 个 IPv4 地 址 ， 并 将 IPv6 首部 转换 为 IPv4 
首部 ， 以 便 沿 协议 栈 向 上 传递 。 


15.4.3 API 中 的 肿块 


API 中 的 肿块 (BIA) 1 策略 支持 使 用 IPv4 应 用 ， 同 时 在 一 个 IPv6 网 络 上 通信 。 
AMR BIS 提供 的 卫 首部 修改 的 是 ，BIA 方法 在 IPv4 和 IPv6 API 之 间 进 行 转换 。BIA 
是 在 主机 的 应 用 和 协议 栈 的 TCP/UDP 层 之 间 实 现 的 ， 它 由 一 个 API 转换 器 、 一 个 地 
址 映射 器 、 名 字 解 析 器 和 功能 映射 器 组 成 ， 如 图 15-22 所 示 。 

当 IPv4 应 用 发 送 一 条 DNS Æ [ wh 
询 ， 以 便 确定 一 个 目的 地 主机 的 IP 


套 接 字 API(IPv6) 


地 址 时 ， 名 字 解 析 器 截获 该 查询 ， 
并 生成 一 条 请 求 AAAA 记录 的 附加 Sb 
ee 
应 答 ， 将 提供 带 有 给 定 IPv4 地 址 的 
答案 。 仅 带 有 一 个 AAAA 记录 的 一 
个 应 答 ， 会 促使 名 字 解 析 器 从 地 址 | 数据 链 路 
映射 器 处 请 求 一 个 IPv4 地 址 ， 以 便 星 
映射 到 返回 的 IPv6 地 址 。 名 字 解 析 
器 利用 被 映射 的 IPv4 地址， 向 应 用 
返回 一 条 A 记录 响应 。 地 址 映射 器 维护 IPv6 地 址 到 那些 从 一 个 内 部 地 址 池 (由 未 指 
YR IPv4 地 址 空间 (0.0.0.0/24) 组 成 ) 指派 地 址 间 的 这 个 映射 。 功 能 映射 器 截获 
API 功能 调用 ， 并 将 IPv4 API 调用 映射 到 IPv6 套 接 字 调 用 。 


物理 
图 15-22 API 中 的 肿块 (BIA) [155] 
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15. 4.4” 带 有 协议 转换 的 网 络 地 址 转换 (NAT-PT) 一 一 被 废弃 不 用 


EHH FT Bik 


含 的 ，NAT-PT' 过 程 不仅 涉 及 将 IPv4 地 址 转换 为 IPv6 地 址 


(就 像 人 们 所 熟悉 的 IPv4 NAT 那样 )， 而 且 实 施 协议 首部 转换 ， 这 点 见 SIT 一 节 所 
一 人 台 NAT-PT 设备 用 作 一 个 IPv6 网 络 和 一 个 IPv4 网 络 之 间 的 网 关 ， 


描述 的 内 容 ” 。 


并 支持 纯粹 的 IPv6 设备 与 IPv4 因特网 上 的 主机 进行 通信 (比如 ) 。 
维护 一 个 IPv4 地 址 池 ， 并 将 一 个 给 定 IPv4 地 址 与 一 个 IPv6 地 址 关联 ， 而 通信 继 


续 进 行 。 图 15-23 形 象 地 说 明了 一 种 NAT-PT # 


NAT-PT 设备 


部 署 的 架构 。 由 于 REC 49661 h 


枚 举 到 的 多 项 原因 ，NAT-PT (和 下 面 描述 的 NAPT-PT) 已 被 废弃 不 用 ， 且 不 应 


进行 部 署 。 


IPv4 网 络 


IPv6 网 络 
IPv6 主 机 


BESA Bs Ue Aiea 


图 15-23 NAT-PT 部 署 (被 废弃 不 用 ) U 


15.4.5 ” 带 有 协议 转换 的 网 络 地 址 端口 转换 (NAPT-PT) 一 一 废弃 不 用 
NAPT-PT 使 IPv6 节点 能 够 使 用 单一 IPv4 地 址 与 IPv4 节点 通信 。 因 此 ， 在 上 面 的 


图 15-23 中 ， 它 并 不 像 NAT- PT 中 那样 维护 一 个 ITPv6 地 址 和 一 个 唯一 


IPv4 地 址 的 一 


到 一 关联 ，NAPT-PT 将 每 个 IPv6 地 址 映射 到 一 个 共同 的 IPv4 地 址 ， 在 相应 的 IPv4 报 
文中 设置 一 个 唯一 的 TCP 或 UDP 端口 值 。 使 用 单一 共享 Pv 地 址 的 做 法 ， 最 小 化 了 
NAT-PT 场景 中 IPv4 地 址 池 耗 尽 的 可 能 。 


15.4.6 SOCKS IPv6/IPv4 网 关 


在 RFC 192855 中 定义 的 SOCKS ， 为 应 用 穿越 防火 墙 


提供 了 传输 中 继 ， 这 实际 上 


H SOCKS 协议 。 


提供 了 应 用 代理 服务 。 针 对 转换 IPv4 和 IPv6 通信 ，RFC 3089!” 施 月 


wR AN CZ 


经 讨论 的 其 他 转换 技术 一 样 ， 这 种 方法 包括 特殊 的 DNS 


处 理 ， 称 之 为 


DNS 名 字 解 析 委 派 ， 它 将 来 自 解析 器 客户 端的 名 字 解 析 任务 委派 给 SOCKS IPv6ZIPv4 
网 关 。 一 个 IPv4 或 IPv6 应 用 可 被 “ 套 接 字 化 ” (socksified) ， 以 便 为 到 支持 其 他 (op- 
posite) 协议 的 一 台 主 机 的 最 终 连 接 ， 而 与 SOCKS 网 关 代理 通信 。 图 15-24 形象 地 说 
明了 一 台 IPv6 主机 配置 有 一 个 SOCKS 客户 端的 情形 ， 该 客户 端 连 接 
机 。 一 台 套 接 字 化 的 IPv4 主机 仅仅 通过 该 SOCKS 网 关 而 与 一 台 IPv6 主机 通信 ， 图 中 
的 方向 是 从 右 到 左 


”例外 情况 是 ， Æ NAT -PT 网 关内 由 关联 所 控制 的 源 和 目的 地 P 地 址 字段 。 


到 一 个 IPv4 E 
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IPv4 网 络 


IPv6 网 络 


IPv4 主 机 PAEH 


带 有 套 接 字 的 客户 端 


IPv6/IPv4 GW 
图 15-24 ”基本 的 SOCKS 网 关 配 置 [1591 


15.4.7 ”传输 中 继 转换 器 


非常 像 SOCKS 配置 情况 的 是 ， 传 输 中 继 转换 器 (TRT) 的 特征 是 ， 一 台 有 状态 
网 关 设 备 互 连 在 不 同 网 络 上 的 两 条 “独立 的 ”连接 。 来 自 一 台 主 机 的 TCP/UDP 连接 
E TRT 上 终结 ， 该 TRT 创建 到 目的 地 主机 的 一 条 独立 连接 ， 并 在 这 两 条 连接 之 间 进 
行 中 继 。TRT 要 求 一 个 DNS- 应 用 层 网 关 DNS_ALC9 ， 它 作为 一 个 DNS 代理 。 规 范 
TRT， 用 来 支持 IPv6 主机 与 IPv4 目的 地 进行 通信 。 如 此 ，DNS-ALG 的 主要 功能 是 当 
IPv6 解析 器 请 求 时 ， 实 施 一 次 AAAA 资源 记录 查询 ;如 果 返 回 一 条 AAAA 记录 ， 则 
应 答 就 被 传递 到 解析 器 ， 接 下 来 的 数据 连接 就 是 一 条 IPv6 连接 。 如 果 没 有 返回 AAAA 
记录 ， 则 DNS-ALG 实施 一 次 A 记录 查询 ， 如 果 接 收 到 一 个 应 答 ， 那 么 DNS-ALG 是 
使 用 包含 于 所 返回 A 记录 中 的 IPv4 地 址 ， on 一 个 IPv6 地 址 。RFC 3142091 ， 它 将 
TRT 定义 为 一 个 信息 型 的 RFC， 规 定 使 用 前 缀 C6:: /64 后 跟 32 AE, IE 32bit 
i ae 
本 地 配置 的 前 组 


15.4.8 应 用 层 网 关 


类 似 于 HTTP 代理 ， 应 用 层 网 关 (ALG) 在 应 用 层 实施 协议 转换 ， 并 实施 应 用 代 
理 功能 (ILEI 15-25) 。 典 型 情况 下 ， 一 个 客户 端的 应 用 将 需要 配置 有 代理 服务 器 的 
IP 地 址 ， 在 打开 应 用 (例如 HTTP 代理 情形 的 网 页 浏览 器 ) 时 ， 将 形成 到 该 代理 服 
务 器 的 一 条 连接 。 在 一 个 仅 支持 IPv6 网 络 上 的 各 主机 ， 对 于 到 IPv4 互联 网 的 网 页 访 
问 或 其 他 应 用 特定 的 访问 ， 使 用 一 台 ALG 就 是 有 用 的 。 


us -ALG DNS 一 服务 


IPv6 网 络 


IPv6 主 机 IPv4 主 机 


Z| 15-25 带 有 DNS-ALG AY TRT 配置 [160] 


O ”有 时 被 称 作 “不 给 就 的 蛋 DNS - ALG” 或 totd。 
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15.5 应 用 迁移 


TCP/IP 应 用 事实 上 的 应 用 编程 接口 (API) 是 套 接 字 接口 ， 它 最 初 是 在 BSD 
UNIX 上 实现 的 (BIND 也 是 最 初 在 这 个 平台 上 实现 的 )。 套 接 字 接口 定义 了 程序 调 
用 ， 支 持 应 用 与 TCP/IP 层 接口 ， 以 便 在 IP 网络 上 通信 。 微软 的 Winsock API 也 是 基 
于 套 接 字 接口 的 。 为 了 支持 IPv6 的 较 长 地 址 池 和 附加 特征 ， 套 接 字 和 Winsock 接口 都 
做 了 修改 。 事 实 上 ， 多 数 主要 的 操作 系统 都 实现 了 对 套 接 字 或 Winsock 的 支持 ， 包 括 
微软 (XP SP1, Vista, 7, Server 2003 和 2008) Solaris (8 +), Linux (内 核 2.4+)、 
Mac OS (X.10.2), AIX (4.3+) 和 HP-UX ( 带 有 升级 的 11i) 。 更 新 后 的 套 接 字 接 
口 支持 IPv4 和 IPv6， 并 提供 IPv6 应 用 与 IPv4 应 用 使 用 IPv4 映射 的 IPv6 地 址 进行 互 
操作 的 能 力 。 和 您 的 应 用 厂商 核对 一 下 对 IPv6 兼容 性 及 其 需求 。 


15.6 规划 IPv6 部 署 过 程 


15.6.1 服务 提供 商 部 署 选项 


服务 提供 商 ， 特 别 是 驻地 宽带 服务 提供 商 ， 可 在 他 们 的 网 络 内 实现 IPv6， 并 最 终 将 
IPv6 地 址 部 署 到 客户 处 。 除 了 应 用 本 章 讨论 的 各 项 技术 外 ， 已 经 形成 另外 两 项 可 选 技术 。 

1) 6rd。IPv6 快速 部 署 定义 了 对 6over4 迁移 方法 的 一 个 变种 ， 支 持 向 端 客户 提供 
IPv6 地 址 ， 同 时 继续 支持 一 个 Pv4 和 IPv6 基础 设施 。 

2) 小 型 的 双 栈 (Dual-Stack Lite) 。 为 服务 提供 商 提供 了 较 佳 利用 日 渐 稀缺 IPv4 
地 址 而 同时 将 IPv6 部 署 到 客户 端的 一 种 方法 。 

(1) 6rd (JIPv6 快速 部 署 ) RFC 55695 和 定义 了 “在 IPv4 基础 上 的 IPv6 快速 部 
署 (6rd)”， 这 样 一 种 技术 使 一 个 服务 提供 商 向 端 客户 提供 IPv6 地 址 ， 而 同时 维持 一 
个 IPv4 基础 设施 。 这 种 方法 要 求 从 客户 端 到 一 个 IPv6 目的 地 ， 通 过 修改 的 6to4 技 
术 ， 将 客户 的 IPv6 流量 打上 隧道 进行 传输 。 修 改 涉及 使 用 服务 提供 商 的 IPv6 前 组 
(ZX32) ， 来 替代 6to4 前 缀 2001:: /16。 

就 像 6to4 一 样 ，IPv6 前 级 接 下 来 的 32bit 由 6to4 网 关 的 IPv4 地 址 组 成 ， 在 这 种 情 
形 中 网 关 是 客户 端 宽 带路 由 器 。 因 此 ， 一 个 6to4 前 级 定义 为 2001: < 32bit IPv4 地 
址 > :: /48， 而 6rd WARE <32bit 服务 提供 商 IPv6 RTZ >: <32bit IPv4 地 址 > :: / 
64°。 这 使 服务 提供 商 向 每 个 客户 提供 一 个 /64 前 级 ， 这 组 成 单一 IPv6 子 网 。 因 此 ， 
带 有 一 个 RIR 分 配 的 IPv6 地 址 块 2001: db8:: /32 的 一 个 服务 提供 商 ， 将 向 有 IPv4 
地 址 192. 0. 2. 130 的 一 台 客 户 网 关 设 备 ， 提 供 一 个 Ord 子 网 地 址 2001: db8: c000; 
282 :: /64 ， 如 图 15-26 所 示 。 


四” 如果 人 们 和 硕 望 的 话 ， 可 使 用 IPv4 地 址 的 一 部 分 ， 比 如 一 个 常用 地 址 10. 0. 0.0 的 低 24 个 唯一 bit， 
这 允许 较 长 的 服务 提供 商 前 级。 
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路 由 表 
目的 地 :2001: db8: c000:282::/64 
=> 下 一 跳 :到 2001; db8:c000:282::a 的 遂 道 


路 由 表 
目的 地 :2001: db9:0:e2::/64 
=> 下 一 跳 :2001:db8:2:e2::/al 


AJ 站 各 a 
IPv6 主 机 6rd 顾客 庙 网 关 6rd 中 继 路 由 器 关 IPv6 主 机 


v6: 地 址 =2001:db8:c000:282::9a ”v4 地 址 =192.0.2.130 v4 地 址 =192.0.2.131(anycast) v6 地 址 =2001; db9:0:e2::e7 
6rd 地 址 =2001: db8:c000:282::a v6 地 址 =2001: db8:0:e2::al 


v6 源 =192.0.2.130 
v4 目的 地 =192.0.2.131 
或 v4 目的 地 =192.0.2.33 > 

v6 源 =2001:db8:c000:282::9a 

v6 目的 地 =2001:db9:0:e2::e7 


| 
| 


v6 源 =2001: db8:c000:282::9a 
v6 日 的 地 =2001:db9:0:e2::e7 


v6 源 =2001: db8:c000:282::9a 
v6 目的 地 =2001:db9:0:e2::e7 


— 


K 15-26 6rd 部 署 范例 


在 驻地 (residence) 内 要 求 一 个 IPv6 地 址 的 一 台 设 备 ， 将 从 这 个 子 网 内 被 指派 
一 个 地 址 。 例 如 在 图 15-26 中 ， 一 台 PC 被 指派 IPv6 地 址 2001: db8: c000; 232:: 
9a, 6rd 客户 网 关 将 纯粹 的 IPv6 报 文 在 IPv4 上 打上 隧道 传输 到 一 个 6rd 网 关 。 在 Ord 
All 6to4 之 间 的 另 一 项 地 址 相关 的 变化 ， 是 任意 播 6to4 地 址 是 固定 的 (192. 88. 99. 1 ) ， 
而 6rd 任意 播 地 址 是 由 服务 提供 商 自 己 在 其 自己 的 地 址 空间 内 确定 的 。 必 须 向 每 台 
户 路 由 器 提供 Ord 中 继 代理 或 任意 播 地 址 (可 能 多 个 ) 。 

6rd 中 继 路 由 器 终结 IPv4 隧道 ， 之 后 将 IPv6 报 文 以 纯粹 方式 (IPv6) 传输 到 它 的 
目的 地 。 服 务 提供 商 前 缀 的 使 用 ,使 6rd 可 达 的 目的 地 与 服务 提供 商 纯粹 IPv6 流量 一 
起 被 通告 传输 。 

小 型 双 栈 ( Dual- Stack Lite)。 小 型 双 栈 是 这 样 一 种 技术 ， 它 使 一 个 服务 提供 商 能 
够 更 有 效 地 利用 正在 消失 的 可 用 公开 IPv4 地 址 池 ， 同 时 便于 对 指派 给 客户 网 关 设 备 
IPv4 地 址 的 长 期 支持 "2 。 典 型 情况 下 ， 服 务 提供 商 将 一 个 地 址 指派 给 一 台 客 户 路 由 
器 或 网 关 ， 该 设备 直接 与 宽带 接 入 网 络 接口 。 在 将 IP 地 址 指派 给 家 乡 网 络 中 的 IP 设 
备 时 ， 客 户 网 关 实 施 DHCP 服务 器 功能 。 人 们 预料 ， 这 样 的 家 乡 网 关 设备 将 在 相当 长 
INS Ta] AY MSC FF IPv4。 

组 成 一 个 小 型 双 栈 实现 的 组 件 包 括 如 下 单元 。 

1) 基本 桥接 宽带 (B4) 单元 ， 它 将 IPv4 家 乡 网 络 与 一 个 IPv6 网 络 桥接 在 一 起 ; 
B4 功能 可 驻 留 在 客户 网 关 设备 上 或 在 服务 提供 商 网 络 内 。 

2) B4 和 AFTR 之 间 软 件 实现 的 IPv6 中 的 IPv4 隧道 。 

3) 地 址 族 转换 路 由 器 (AFTR) 以 B4 单元 终结 IPv6 中 传输 IPv4 的 软件 隧道 ， 
它 也 实施 IPv4-IPv4 网 络 地 址 转换 功能 。 

图 15-27 形象 地 说 明了 在 一 条 端 到 端 连 接 内 这 三 个 组 件 间 的 相互 关系 。 从 图 的 左 
侧 开始 ， 了 Pv4 主机 从 客户 网 关 的 DHCP 服务 器 功能 得 到 一 个 IPv4 地 址 10. 1.0.2。 让 
我 们 假定 这 个 IPv4 主机 希望 连接 到 一 个 网 站 ,该 网 站 已 经 解析 到 IP 地 址 
192.0.2. 21, IPv4 主机 以 源 地 址 10.1.0.2 和 源 端口 1000 (比如 ) 以 及 目的 地 址 
192. 0. 2. 21 端口 80， 形 成 一 条 IP 报 文 。 该 主机 将 这 条 报 文 传输 到 它 的 默认 路 由 ， 即 
客户 网 关 。 
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在 这 个 例子 中 的 客户 网 关 包 括 B4 单元 ， 如 果 隧 道 还 没有 建立 的 话 ， 那 么 该 单元 
建立 软件 IPv6 中 的 IPv4 隧道 。 在 客户 网 关 的 WAN 接口 (面向 服务 提供 商 网 络 ) 上 
已 经 指派 一 个 IPv6 地 址 ， 隧 道 是 在 这 条 连接 上 建立 的 ,已 经 由 人 工 或 通过 DHCPv6 
为 客户 网 关 配 置 了 AFTR IPv6 地 址 。 如 图 15-27 所 示 ，B4 单元 将 原始 IPv4 报 文 封装 
上 一 个 IPv6 首部 ， 并 将 报 文 传输 到 AFTR, 


NAT 了 映射 表 
10.1.0.2 :1000 来 自 2001: db8::a:1 
> 198.51.100.5:5000 


服务 提供 


J = 
乡 网 络 顾客 “2001db8ra 


IPv4 因 特 网 


IPv6 主 机 IPv4 主 机 
10.1.0.2 端 网 关 192.0.2.2 
(B4 功 能 ) 
vA=10.1.02:1000 F VaR=200: db 801 1 v4 198.51.100.5:5000 
v4 目的 地 =192.0.2.21: 80 v4 目的 地 =2001: db8::a:2 v4 目的 地 =192.0.2.21:80 


v4 源 =10.1.0.2 :1000 
v4 目的 地 =192.0.2.21: 80 


图 15-27 “小 型 双 栈 架构 [16@2] 


AFTR 终止 隧道 ， 并 去 掉 IPv6 首部 。 之 后 AFTR 实施 一 项 IPv4-IPv4 NAT 功能 。 
为 了 将 原始 报 文 的 私有 “(RFC 1918) IPv4 源 地 址 转换 为 一 个 公开 的 IPv4 地 址 ， 要 求 
这 样 做 。 因 此 ， 服 务 提供 商 必须 准备 一 个 公开 IPv4 地 址 池 ， 可 被 用 作 目 的 地 为 一 个 
IPv4 目的 地 的 报 文 源 PP 地址， 就 像 这 种 情况 中 那样 。 这 种 准备 地 址 池 的 做 法 ,使 服 
务 提供 商 能 够 更 加 高 效 地 利用 日 益 稀缺 的 公开 IPv4 地 址 空间 。 一 般 而 言 ，AFTR 也 实 
施 端 口 转换 ， 并 为 了 在 两 个 方向 上 正确 地 映射 IPv4 地 址 和 端口 号 ， 必 须 跟 踪 每 项 
NAT 操作 的 这 种 映射 。 

在 图 15-27 中 ，AFTR 将 客户 的 源 IPv4 地 址 和 端口 10. 1.0.2: 1000 映射 到 
192. 51. 100. 5: 5000。 因 为 所 有 客户 将 利用 10. 0. 0.0 地 址 空间 ， 所 以 NAT 映射 表 也 
跟踪 报 文 源 自 其 上 的 隧道 。 最 终 被 传输 到 目的 地 主机 的 报 文 ， 包括 这 个 被 映射 的 IPv4 
地 址 和 端口 198. 51. 100.5: 5000。 目 的 地 为 这 个 地 址 /端口 的 返回 报 文 ， 被 映射 到 
[目的 地 ] 地 址 10.1.0.2: 1000， 并 以 隧道 方式 传输 到 2001: db8:: a: 1。 

部 署 了 纯粹 IPv6 的 客户 或 双 栈 主机 ， 可 拥有 DHCPv6 功能 提供 的 或 通过 自动 配 
置 得 到 的 相应 IPv6 地 址 ，DHCPv6 功能 是 在 客户 网 关中 实现 的 。 在 家 乡 网 络 上 被 传输 
到 客户 网 关 的 IPv6 报 文 ， 不 会 利用 软件 隧道 ， 但 相反 ， 它 是 以 纯粹 的 方式 (IPv6) 
在 服务 提供 商 IPv6 接 入 网络 上 被 路 由 的 。 


15.6.2 ”企业 部 署 场景 


当 考 虑 一 种 IPv6 实现 方法 时 ， 当 然 不 会 缺少 技术 选择 。 具 有 多 种 选择 是 不 错 的 ， 
但 它 也 可 能 令 人 感到 怒 惧 。 选 择 正确 的 途径 将 取决 于 您 的 当前 环境 ,包括 端 用 户 设 备 
和 操作 系统 、 路 由 器 模型 和 版 本 ， 以 及 关键 应 用 、 预 算 和 资源 ， 还 有 时 间 窗 (time 
frame) (〈 即 选择 合适 的 时 机 ) 。 考 虑 到 主导 操作 系统 和 联网 设备 中 双 栈 支持 的 迅速 增 
长 ， 双 栈 方 法 可 能 是 最 普遍 采用 的 方法 。 在 本 节 ， 我 们 将 回顾 一 下 基本 IPv6 实现 场 
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景 ， 来 提供 各 种 宏观 层次 方法 的 一 种 感觉 (flavor) 。 在 回顾 这 些 场景 时 ， 让 我 们 使 用 
图 15-28 中 的 基本 图 作为 一 个 基线 。 在 这 个 图 中 ， 我 们 有 一 个 客户 端 ， 在 这 种 情形 中 
带 有 IPv4 应 用 、IPv4 套 接 字 API 和 TCP/IPv4 协议 栈 ， 还 有 具备 相当 配置 的 一 台 服 务 
器 。 我 们 将 互联 网 络 分 割 成 分 别 用 于 客户 端 和 服务 器 的 接 人 网 络 以 及 一 个 核心 或 骨干 
网 络 。 


客户 端 服务 器 
IPv4 应 用 IPv4 应 用 
API API 
TCP/IPv4 TCP/IPv4 
数据 链 路 /物理 数据 链 路 /物理 


IPv4 接 入 网 


迁移 前 的 初始 状态 ''*] 


图 15-28 IPv4 网 络 的 基本 情形 


注意 这 个 基本 图 形象 地 说 明了 成 对 的 客户 端 -服务 器 连接 。 对 于 一 个 给 定 用 例 ， 
这 可 能 代表 一 台 内 部 客户 端 通过 完全 处 于 内 网 的 接 入 网 络 和 核心 网 络 ， 访 问 一 台 内 部 
服务 器 的 情形 。 但 也 可 能 代表 一 人 台 内 部 客户 端 和 内 部 服务 器 在 因特网 上 通信 ， 一 台 内 
部 客户 端 与 一 台 基 于 因特网 的 服务 器 通信 ， 或 一 台 外 部 客户 端 通过 因特网 与 一 台 内 部 
服务 器 通信 等 情形 。 这 种 惯例 (convention) 简化 了 独特 用 例 的 庞大 数量 。 当 描述 迁 
移 场景 时 ， 在 合适 的 地 方 将 指出 这 些 变 形 间 的 微小 差异 。 


15.6.3 核心 网 络 迁 移 场景 


第 一 个 场景 涉及 最 初 为 骨干 或 核心 网 络 增补 IPv6 支持 。 这 个 场景 要 求 升 级 所 有 
的 核心 路 由 器 来 支持 IPv6 路 由 和 路 由 协议 ， 升 级 接 入 到 核心 的 边界 路 由 器 来 支持 双 
栈 。 核 心 网 络 可 能 是 一 个 内 部 骨干 或 一 个 IPv6 ISP 网 络 。 接 入 -核心 边界 路 由 器 的 一 
种 常见 实现 方法 是 在 它们 之 间 利 用 配置 的 隧道 。 这 种 做 法 使 这 些 边界 路 由 器 能 够 通告 
IPv4 路 由 ， 并 在 IPv6 骨干 上 以 隧道 方式 传输 IPv4 报 文 。 男 外 ， 在 这 些 边界 点 上 可 能 
使 用 转换 网 关 。 无 论 采取 哪 种 方式 ， 这 种 正确 实现 的 方法 应 该 对 客户 端 或 服务 器 设备 
或 软件 几乎 没有 多 少 影响 ， 并 可 在 不 影响 端 用 户 的 条 件 下 ， 为 IPv6 试验 提供 一 个 起 
点 ( 见 图 15-29)。 


15.6.4 服务 器 侧 迁 移 

接 下 来 的 场景 假定 我 们 的 基本 情形 作为 初始 状态 ， 后 跟 将 服务 器 和 应 用 主机 升级 
到 双 栈 实现 。 在 服务 器 仍然 能 够 支持 IPv4 通信 和 应 用 的 前 提 下 ， 端 客户 端 应 该 像 以 
前 一 样 通过 IPv4 通信 。 但 是 ， 服 务 器 也 能 够 服务 IPv6 客户 端 。 这 个 场景 可 能 反映 了 
如 下 用 例 : 


IPv6 28-4 4e IPv4 共存 


Ph 服务 器 
IPv4 应 用 IPv4 应 用 
API API 
TCP/IPv4 TCP/IPv4 
数据 链 路 /物理 数据 链 路 /物理 


IPv4 接 入 网 


核心 (网 络 ) 迁移 场景 0 
(1) 图 15-30 中 的 客户 端 和 服务 器 处 在 同一 个 组 织 机 构 内 ， 该 组 织 机 构 能 够 仅 升 


级 它 的 服务 器 ， 以 便 在 升级 和 影响 端 客 户 端 之 前 ， 为 IPv6 提供 整体 准备 性 测试 。 在 
这 种 情形 中 ， 端 客户 端 将 不 能 访问 任何 IPv6 应 用 。 
客户 端 服务 器 
API API(v4) || API(v6) 
TCP/IPv4 TCP/IPv4||TCP/IPv6 
数据 链 路 /物理 aa KRE OE 


图 15-30 RZEK] 
(2) 这 个 场景 也 可 能 反映 了 通过 一 个 IPv4 网 络 (例如 IPv4 因特网 ) 的 一 个 组 织 


机 构 间 的 连接 。 

1) 正在 向 IPv6 迁移 或 已 完成 迁移 的 一 个 组 织 机 构 ， 将 可 能 为 面向 因特网 的 IP 
应 用 (例如 它 的 web 服务 器 ) 实现 一 台 双 栈 服务 器 。 在 这 种 情形 中 ， 一 个 IPv4 浏览 
器 客户 端 可 通过 因特网 访问 web 服务 器 。web 服务 器 可 同时 服务 IPv4 客户 端 和 IPv6 
浏览 器 客户 端 。 取 决 于 ISP 的 能 力 , 该 ISP 可 提供 从 一 个 IPv6 接 和 人 网 络 的 转换 网 关 ， 
或 可 使 用 打 隧 道 方法 。 

2) 正在 向 IPv6 迁移 或 已 完成 迁移 的 一 个 组 织 机 构 ， 如 果 它 要 求 到 仅 和 运行 IPv4 
的 合作 伙伴 的 网 络 连 接 ， 那 么 也 可 映射 到 这 个 场景 。 实 现 配 置 的 隧道 将 是 这 样 一 条 组 
织 机 构 间 链 路 (link) 的 良好 方法 。 

(3) 如 果 我 们 忽略 服务 器 上 双 栈 的 IPv4 部 分 ， 并 认为 服务 器 仅 支 持 IPv6， 那 么 
这 个 场景 可 代表 一 台 仅 支持 IPv4 的 客户 端 和 尝试 访问 一 台 仅 支持 IPv6 的 服务 器 。 这 样 
一 个 场景 将 要 求 使 用 如 下 技术 之 一 : 

1) 一 个 IPv4-IPv6 转换 网 关 处 在 IPv4-IPv6 网 络 边界 ， 这 里 假定 服务 器 接 人 网 络 
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也 是 仅 支 持 IPv6 的 。 
2) 如 果 服 务 器 接 入 网 络 仅 支持 IPv4， 那 么 服务 器 必须 采用 一 种 基于 主机 的 转换 
机 制 (例如 BIS 或 BIA)， 以 便 在 IPv4 和 1IPv6 首部 之 间 转 换 。 


15. 6.5 客户 端 侧 迁 移 


图 15-31 表示 以 图 15-28 我 们 的 初始 配置 开始 的 一 个 场景 ， 接 着 将 客户 端 和 接 入 
网 络 路 由 需 都 迁移 到 双 栈 实现 。 现 有 的 IPv4 客户 端 设备 将 被 增补 IPv6 应 用 、API 和 
TCP/IP 协议 栈 。 当 迁移 到 Windows XP SP1, Vista 或 7, 或 Mac OS X 时 ,就 已 经 提供 
了 这 些 功能 中 的 多 数 增补 功能 。 这 个 场景 代表 如 下 范例 情形 。 


客户 端 服务 器 
API(v4) | API(v6) API 
TCP/IPv4|| TCP/IPv6 TCP/IPv4 

GEES 数据 链 路 /物理 


图 15-31 客户 端 侧 迁 移 场景 [7] 


(1) 在 一 个 特定 的 组 织 机 构 完 全 迁移 到 IPv6 之 后 ， 继 续 使 用 双 栈 将 支持 对 IPv4 


网 站 的 访问 。 因 此 ， 在 因特网 可 访问 的 应 用 完成 到 IPv6 的 迁移 之 前 ， 这 可 能 是 实际 
上 会 存在 多 年 的 后 迁移 场景 。 但 是 ， 这 样 一 个 场景 的 一 种 更 可 能 配置 ， 是 在 组 织 机 构 
内 完全 迁移 到 IPv6 ， 到 IPv4 因特网 (ISP) 链 路 处 配置 一 台 转 换 网 关 。 

(2) 一 个 给 定 组 织 机 构 内 的 这 样 一 种 配置 ， 注 定 不 会 落 在 研究 IPv6 项 目的 那些 
组 织 机 构 范 围 之 外 ， 他 们 具有 访问 外 部 IPv6 应 用 的 需要 。 典 型 情况 下 ， 在 一 个 组 织 
机 构 内 大 规模 地 部 署 客户 端 ， 将 要 求 必 要 的 服务 器 侧 文 持 。 

(3) 忽略 客户 端 协议 栈 的 IPv4 部 分 ， 并 认为 客户 端 仅 文 持 Pv6 ， 那 么 这 个 场景 
可 勾勒 出 一 名 完全 迁移 的 IPv6 用 户 访问 一 项 IPv4 应 用 (例如 一 台 web 服务 器 ) 的 情 
形 。 典 型 情况 下 ， 这 样 一 个 场景 的 特征 是 在 IPv4 ISP 连接 上 配置 一 台 转 换 网 关 ， 虽 然 
此 时 也 可 采用 6to4 ISATAP 或 Teredo 打 隧 道 方法 。 


15.6.6 客户 端 -服务 器 迁移 


在 一 个 组 织 机 构 内 IPv6 迁移 的 一 种 普遍 被 人 期 望 的 方法 ， 其 特征 是 ， 在 大 约 相同 
时 间或 在 滚动 升级 的 基础 上 ， 对 客户 端 和 服务 器 进行 升级 ， 在 合适 情况 下 也 包括 应 用 的 
升级 。 双 栈 部 署 方 法 的 使 用 ， 便 于 随时 间 推 移 将 双 栈 部 署 到 客户 端 和 服务 器 。 对 于 应 用 
的 迁移 ， 特 别 是 由 大 量 用 户 群 访问 的 集成 企业 应 用 的 迁移 ， 必 须 给 予 特别 的 考虑 。 在 迁 
移 中 对 混合 IPv4/1Pv6 客户 端的 支持 会 是 理想 情况 ， 但 也 许 并 不 现实 〈 见 网 15-32 ) 。 
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API 服务 器 
IPv4 IPv6 IPv4 IPv6 
应 用 应 用 应 用 应 用 
API(v4) || API(v6) API(v4) | API(v6) 
TCP/IPv4 || TCP/IP v6 TCP/IPv4 |] TCP/IP v6 
数据 链 路 /物理 A A 
A =a LL 
YY IS Yp ae WU Ws 
T ©  & 
IPv4 核 心 /骨干 网 


Ss _ S 
图 15-32 WRR AR 
这 个 场景 反映 了 上 面 描述 的 企业 内 范例 情况 ， 也 反映 了 依据 下 面 的 表 中 的 更 广泛 
范例 集合 ， 同 时 考虑 了 单 栈 情形 。 


15.6.7 总 体 IPv6 实现 规划 


除了 地 址 长 度 和 格式 的 基本 差异 外 ， 在 其 他 方面 ，IPv4 和 IPv6 都 是 网 络 层 协议 ， 
它们 使 应 用 能 够 在 共同 的 层 1 和 层 2 网 络 上 进行 通信 。 这 样 就 便于 在 同一 物理 网 络 上 
迁移 过 程 期 间 IPv4 和 IPv6 的 共存 。 但 是 ， 层 3 以 上 的 各 层 将 极 可 能 受到 影响 ， 特 别 
是 显示 、 利 用 或 支持 IP 地 址 表 项 的 那些 应 用 更 会 受到 影响 。 

IPv6 实现 提出 了 许多 挑战 。 这 些 挑战 的 关键 是 为 IPv6 网 络 分 配 和 部 署 而 定义 和 
组 织 一 个 整体 规划 。 这 正 是 一 个 IPAM 系统 可 有 助 益 的 领域 (discipline), BREE 
许多 涉及 的 详细 步 又 ， 但 为 规划 和 实施 这 样 一 次 迁移 ， 建 议 采 用 如 下 4 个 高 层次 的 
步骤 。 

(1) 对 您 当前 的 环境 建立 基线 ;通过 实施 我 们 在 本 书 通 篇 讨论 过 的 实践 ， 可 完 
成 这 一 步 又。 

1) 在 如 下 方面 对 当前 IPv4 网 络 环境 建立 清单 和 做 基线 : 确定 哪些 IPv4 地 址 空 
间 正 在 使 用 ， 它 们 是 如 何 分 配 的 ， 哪 些 个 体 IPv4 地 址 已 被 指派 且 正 在 使 用 ， 以 及 依 
据 设备 不 同 的 其 他 IP 有 关 信 息 。 

2) 作为 前 一 步骤 的 必然 结果 ， 对 相关 联 的 动态 主机 配置 协议 (DHCP) 服务 器 
配置 ( 指 地 址 池 以 及 相关 联 策略 和 选项 ) 建立 清单 和 做 基线 。 

3) 识别 和 记录 相关 联 的 域名 服务 器 (DNS) 配置 以 及 与 IPv4 设备 关联 的 资源 
记录 。 

4) 对 网 络 设备 (基础 设施 和 端 用 户 ) 建立 清单 ， 以 便 估计 当前 和 期 望 的 未 来 
IPv4/IPv6 支持 水 平 。 

5) 分 析 应 用 潜在 迁移 的 影响 ， 如 果 存 在 影响 的 话 ， 那 么 就 对 解决 这 些 影响 做 出 
规划 。 

(2) 规划 您 的 IPv6 部 署 

1) 设计 (map out) IPv6 实现 的 一 项 战略 措施 ， 包 括 如 下 方面 的 考虑 : 
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D 应 用 迁移 和 必 备 的 升级 

D 联网 /路 由 器 迁移 或 升级 

®© 从 打 隧 道 、 转 换 和 /或 双 栈 方法 中 选择 共存 技术 ， 并 规划 相应 的 DNS 影响 
(impact) 。 

D 选择 IPv6 设备 配置 措施 ， 例 如 无 状态 自动 配置 、 有 状态 配置 或 混合 方式 

2) 考虑 时 间 窗 口 (time frame) 需求 ， 如 果 存 在 的 话 ， 就 分 析 对 被 影响 单元 的 依 
赖 性 ， 并 确定 预算 需求 ， 以 便 得 到 一 个 迁移 规划 。 

(3) 执行 部 署 过 程 

1) 依据 前 面 的 步骤 ， 开 始 执行 部 署 规划 ， 并 就 日 程 、 预 算 、 依 赖 和 意外 事件 计 
划 方 面 进行 过 程 的 项 目 管理 。 

2) 对 做 过 基线 的 IPv4 空间 和 相关 联 的 IPv6 FEE (overlay) 空间 的 IP 地 址 清单 
进行 跟踪 。 当 然 ，IPv4 空间 中 的 增长 和 变化 将 极 可 能 在 迁移 过 程 中 持续 ， 所 以 在 合适 
的 情况 下 ， 将 这 些 更 新 藤 入 到 规划 之 中 。 

3) 更 新 DNS 和 DHCP 服务 ， 以 便 应 对 迁移 中 的 环境 ， 例 如 要 支持 IPv4 和 IPv6 
主机 以 及 IPv4 和 IPv6 传输 。 

(4) 管理 IPv4-IPv6 网 络 

1) 管理 IPv4 和 IPv6 地 址 空间 以 及 相应 的 DHCP 和 DNS 服务 。 

2) 依据 您 的 规划 ， 一些 IPv4 空间 可 能 退役 。 当 您 网 络 的 一 些 部 分 完全 迁移 到 
IPv6 或 在 网 络 上 作为 最 终 的 退役 步 又， 可 能 完成 这 项 工作 。 

3) 取决 于 服务 外 部 主机 的 需求 (依据 内 部 策略 ,它们 可 能 仅 支 持 IPv4 ) ， 您 可 
能 期 望 在 您 的 整个 网 络 上 或 网 络 的 一 些 部 分 上 保留 IPv4 协议 继续 运行 。 
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i) 汇 表 


本 书 中 通 篇 所 用 的 主要 术语 汇总 如 下 : 

DHCP (动态 主机 配置 协议 ) : 使 IP 地 址 到 网 络 主机 或 设备 的 指派 自动 化 。DHCP 
技术 适用 于 IPv4 和 IPv6 地 址 指派 ， 虽 然 典 型 情况 下 ,“DHCP” 指 IPv4 地 址 指派 。 

eDHCPv6: 专门 用 于 IPv6 地 址 的 DHCP， 并 不 是 DHCP 协议 的 版 本 6。 

DNS (域名 系统 ) : 因特网 名 字 、 地 址 和 其 他 信息 的 分 布 式 数据 库 。 

© DNSSEC: DNS 安全 扩展 ， 提 供 解 析 数 据 源 发 认证 ( 源 真 正 地 发 布 了 这 个 数 
据 ) 、 数 据 完整 性 验证 (沿路 数据 没有 被 修改 ) 和 经 过 认证 的 数据 存在 性 拒绝 (被 请 
求 的 数据 在 这 个 区 域 中 不 存在 ) 。 

e FCAPS: 网 络 管理 的 五 个 主要 功能 域 的 首 字 母 缩 写 ， 即 在 ITU 电信 管理 网 络 标 
准 中 所 描述 的 故障 、 配 置 、 记 账 、 性 能 和 安全 。 

e Host (EHL): 在 一 个 IP 网 络 上 通信 的 一 台 端 设备 ， 例 如 一 台 服 务 器 、 笔 记 本 
计算 机 和 VoIP 电话 。 我 们 称 一 台 端 设备 ， 是 相对 网 络 基础 设施 设备 而 言 的 ， 例 如 路 
由 器 和 交换 机 。 

eIP (因特网 协议 ) : 在 因特网 间 和 所 有 IP 网 络 间 使 用 的 网 络 层 。IP 通常 指 所 有 
IP 版 本 ,而 IPv4 和 IPv6 指 相 应 的 全 版 本 。 

e IPAM (IP 地 址 管理 ) : 管理 IP 地 址 空间 以 及 相关 联 DHCP 和 DNS 服务 的 系统 
性 (disciplined) 方法 。 

e ISC (因特网 系统 团体 (Consortium) ) : DHCP 和 DNS (BIND) 参考 实现 的 开发 者 。 

。ITIL® (信息 技术 基础 设施 库 ) : 由 英国 商务 部 (0GC) 开发 ， 是 一 个 最 佳 实 
践 框架 ,采取 的 是 这 样 的 一 个 视角 ， 即 信息 技术 CIT) 组 织 机 构 是 企业 的 一 个 服务 
提供 商 。 

e KSK ( 密 钥 签名 密 钥 ) : 在 DNSSEC 内 部 使 用 ， 用 来 对 一 个 区 域 签 名 密 钥 
(ZSK) 进行 签名 ，ZSK 接 下 来 对 DNS 区 域 数 据 进行 签名 。 公 开 KSK 是 在 相应 安全 区 
域内 的 一 条 DNSKEY 资源 记录 中 发 布 的 。 被 配置 信任 这 个 区 域 之 数据 的 解析 器 或 递 
归 服 务 器 ， 在 其 相应 配置 内 必须 有 公开 KSK 的 一 个 拷贝 (或 一 个 父 区 域 或 旁 查核 验 
器 区 域 的 公开 KSK) 被 配置 为 信任 锚 点 。 

e NAT (网 络 地 址 翻译 转换 ) : 一 台 网 关 或 防火 墙 ， 在 转发 报 文 之 前 ， 改 变 ( 转 
H) IP 报 文 内 的 一 个 全 地址; 常用 于 企业 网 络 之 中 ， 将 内 部 私有 IP 地 址 转换 为 外 部 
公开 卫 地 址 。 

o TCP (传输 控制 协议 ) : TCP/IP 协议 族 内 面向 连接 的 传输 层 协议 。 

e UDP (用户 数 据 报 协议 ) : TCP/IP 协议 族 内 无 连接 的 传输 层 协议 。 

。 ZSK (区 域 签名 密 钥 ) : HÆ DNSSEC 内 ， 对 区 域 信息 ( 指 区 域内 资源 记录 和 集 
内 的 每 条 记录 ) 进行 签名 。 
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索 引 


本 索引 列 出 了 因特网 工程 任务 组 (IETF) 发 布 的 IPAM - 有 关 的 主要 请 求 评 述 


(RFC) 文档 。RFC 文档 可 从 www. 


ietf. 


org/rhe 检索 得 到 。 


ted) 的 各 RFC, RFC 3789 ~ 3796 是 部 署 IPv4 地 址 的 综述 ， 
但 它们 就 特定 应 用 的 IPv4 地 址 进行 的 讨论 和 定义 ， 提 供 了 有 助 益 的 深 喧 理 解 。 


状态 栏 指明 RFC 状态 ， 为 信息 型 的 、 


没有 列 出 废弃 (Obsole- 
在 下 面 的 表 中 没有 列 出 ， 


试验 型 的 、 标 准 跟踪 、 草 案 标 准 、 建 议 标准 、 


标准 及 历史 型 的 。 已 被 采纳 为 最 佳 当前 实践 (BCP) 的 各 RFC 以 BCP 号 枚 举 列 出 。 

IPv4 协议 各 RFC 

RFC 状态 标 题 

791 标准 因特网 协议 

1042 标准 在 IEEE 802 网 络 上 传输 IP 数据 报 的 标准 

1546 信息 型 的 主机 任意 播 服 务 

1878 历史 型 的 IPv4 的 变 长 子 网 表 

2101 信息 型 的 如 今 的 IPv4 地 址 行为 

2365 BCP 23 管理 范围 的 JP 组 播 

3927 建议 标准 IPv4 链 路 本 地 地 址 的 动态 配置 

4116 信息 型 的 IPv4 多 穴 连 接 实践 和 限制 

4632 BCP 122 无 类 域 间 路 由 (CIDR) :因特网 地 址 指派 和 汇聚 规划 
IPv6 协议 各 RFC 

RFC 状态 bp ” 题 

1752 建议 标准 IP 下 一 代 协 议 的 建议 

1881 信息 型 的 IPv6 地 址 分 配 管理 

1887 信息 型 的 IPv6 单 播 地 址 分 配 架构 

2375 信息 型 的 IPv6 组 播 地 址 指派 

2460 草案 标准 因特网 协议 版 本 6(1Pv6) 规 范 

2526 建议 标准 预 留 的 IPv6 子 网 任意 播 地 址 

3484 建议 标准 因特网 协议 版 本 6(IPv6 ) 的 默认 地 址 选择 

3582 埋 息 型 的 IPv6 站 点 多 六 连接 架构 的 目标 

3587 言 息 型 的 IPv6 全 球 单 播 地 址 格式 

3627 信息 型 的 在 路 由 器 之 间 使 用 /127 前 组 长 度 被 认为 是 有 害 的 

3701 信息 型 的 6bone( IPv6 测试 地 址 分 配 ) 分 阶段 停 用 
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( 续 ) 
RFC 状态 标 ” 题 
3879 建议 标准 废弃 的 站 点 本 地 地 址 
3956 建议 标准 在 一 个 IPv6 组 播 地 址 中 内 散会 聚 点 (RP) 地址 
4007 建议 标准 IPv6 有 范围 约束 的 地 址 架构 
4076 信息 型 的 IPv6 无 状态 动态 主机 配置 协议 的 重新 编 址 需求 (DHCPv6) 
4177 信息 型 的 IPv6 多 六 连接 的 架构 性 方法 
4193 建议 标准 唯一 本 地 IPv6 单 播 地 址 
4218 言 息 型 的 与 IPv6 多 穴 连 接 解 决 方案 有 关 的 威胁 
4291 草案 标准 卫 版 本 6 寻 址 架构 
4294 信息 型 的 JIPv6 节点 需求 
4339 信息 型 的 IPv6 主机 的 DNS 服务 器 信息 配置 方法 
4489 建议 标准 生成 链 路 范围 Pv6 组 播 地 址 的 一 种 方法 
4843 试验 型 的 覆盖 可 路 由 的 密码 学 哈 而 标识 符 (ORCHID ) 的 IPv6 前 级 
4861 草案 标准 IP 版 本 6(IPvw6 ) 的 邻居 发 现 
4862 草案 标准 IPv6 无 状态 地 址 自动 配置 
4941 草案 标准 IPv6 中 无 状态 地 址 自动 配置 的 隐私 扩展 
4968 信息 型 的 基于 802. 16 网 络 的 IPv6 链 路 模型 分 析 
5006 试验 型 的 DNS 配置 的 IPv6 路 由 器 通告 选项 
5156 信息 型 的 特殊 用 途 的 IPv6 地 址 
5157 言 息 型 的 网 络 扫描 的 IPv6 隐 含 意义 
5375 言 息 型 的 IPv6 单 播 地 址 指派 考虑 因素 
5453 标准 跟踪 预 留 的 IPv6 接口 标识 符 
5902 信息 型 的 有 关 IPv6 网 络 地 址 转换 的 IAB 思考 
IPv4/IPv6 共存 各 RFC 
RFC 状态 标 ” 题 
2185 信息 型 的 IPv6 迁移 的 路 由 特征 ( Aspects ) 
2529 建议 标准 没有 显 式 隧道 条 件 下 IPv4 域 之 上 的 IPv6 传输 
2765 建议 标准 无 状态 IP/ICMP 转换 算法 (SHT) 
2767 信息 型 的 使 用 “协议 栈 肿块 "(BIS) 技 术 的 双 栈 主机 
3053 信息 型 的 IPv6 隧道 代理 
3056 建议 标准 通过 IPv4 网 络 云 的 IPv6 域 间 连 接 [6to4 ] 
3068 建议 标准 6to4 中 继 路 由 器 的 一 个 任意 播 前 组 
3089 信息 型 的 一 种 基于 SOCKS 的 IPv6/IPv4 网 关机 制 
3142 信息 型 的 一 种 IPv6 到 JPv4 传输 中 间 转 换 器 
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( 续 ) 
RFC 状态 标 ” 题 
3338 试验 型 的 使 用 “API APIR” (BIA) 的 双 栈 主机 
3574 言 息 型 的 3GPP 网 络 的 迁移 场景 
3750 信息 型 的 无 管理 (Unmanaged) 网 络 IPv6 迁移 场景 
3904 信息 型 的 无 管理 网 络 的 IPv6 迁移 机 制 评估 
3964 信息 型 的 6to4 安全 考虑 
3974 土 息 型 的 YEG IPv4/IPv6 环境 中 SMTP 运行 经 验 
4029 言 息 型 的 将 IPv4 引入 ISP 网 络 的 场景 和 分 析 
4038 言 息 型 的 IPv6 迁移 的 应 用 特征 
4057 信息 型 的 IPv6 企业 网 络 场景 
4213 建议 标 ; IPv6 主机 和 路 由 器 的 基本 迁移 机 制 
4215 信息 型 的 第 三 代 合 作 伙伴 项 目 (3GPP) 网 络 中 IPv6 迁移 的 分 析 
4241 信息 型 的 IPv6/IPv4 双 栈 因特网 接 入 服务 的 一 种 模型 
4361 建议 标准 动态 主机 配置 协议 版 本 4(DHCPv4) 的 节点 特定 客户 端 标识 符 
4380 建议 标准 Teredo: 通 过 网 络 地址 转换 (NAT) 的 UDP 上 IPv6 隧道 传输 
4477 信息 型 的 动态 主机 配置 协议 ( DHCP) :IPv4 和 IPv6 双 栈 问题 
4554 信息 型 的 在 企业 网 中 IPv4 -IPv6 共存 而 使 用 VLAN 
4798 建议 标 ; 使 用 IPv6 提供 商 边 缘 路 由 器 (6PE ) 在 IPv4 MPLS 上 连接 IPv6 孤岛 
4852 信息 型 的 IPv6 企业 网 分 析 一 一 IP 层 3 聚焦 
4942 言 息 型 的 IPv6 迁移 /共存 的 安全 考虑 
4966 言 息 型 的 将 网 络 地 址 转换 器 一 一 协议 转换 器 (NAT - PT) 移 到 历史 型 状态 的 原因 
4977 言 息 型 的 问题 陈述 : 双 栈 移动 性 
5181 信息 型 的 在 802. 16 网 络 中 的 IPv6 部 署 场景 
5211 信息 型 的 一 项 因特网 迁移 计划 
5214 信息 型 的 站 点 内 自动 隧道 寻 址 协议 (ISATAP) 
5569 言 息 型 的 在 IPv4 基础 设施 上 的 IPv6 快速 部 署 (6rd) 
5747 试验 型 的 使 用 下 封装 和 MP - BGP 扩展 的 4over6 迁移 (Transit) 解决 方案 
IP 地 址 分 配 的 各 RFC 
RFC 状态 标 ” 题 
1219 信息 型 的 子 网 号 码 指派 
1518 历史 型 的 采用 CIDR 的 IP 地 址 分 配 架 构 
1900 信息 型 的 重新 编 址 需要 进行 研究 
1715 信息 型 的 地 址 指派 效率 的 H 比率 
1918 BCP 5 私有 因特网 的 地 址 分 配 
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( 续 ) 

RFC 状态 标 ” 题 

2008 BCP7 因特网 路 由 各 种 地 址 分 配 策略 的 隐 含 意义 

2050 BCP 12 因特网 注册 处 卫 分 配 指南 

2071 信息 型 的 网 络 重新 编号 综述 :我 为 什么 想 要 它 及 它 到 底 是 什么 ? 
2908 信息 型 的 因特网 组 播 地 址 分 配 架 构 

3177 信息 型 的 将 IPv6 地 址 分 配 到 站 点 的 IAB/IESG 建议 

3194 言 息 型 的 岂 址 指派 效率 的 H 密度 比率 一 一 H 比率 的 更 新 
3531 言 息 型 的 管理 一 个 IPw 地 址 块 的 各 比特 指派 的 一 种 灵活 方法 
3819 BCP 89 对 因特网 子 网 设计 人 员 的 忠告 

3849 信息 型 的 为 归档 ( Documentation ) 预 留 的 IPv6 地 址 前 组 

4147 信息 型 的 针对 IANA IPv6 注册 处 建议 的 格式 变更 

4192 信息 型 的 在 没有 纪念 日 ( 指 胜利 ) 条 件 下 对 一 个 IPv6 网 络 重新 编号 的 规程 
4779 言 息 型 的 在 宽带 接 入 网 络 中 的 ISP IPv6 部 署 场景 

4786 BCP 126 任意 播 服务 的 运行 

5505 言 息 型 的 因特网 主机 配置 的 原则 

5684 言 息 型 的 采用 重 钱 地 址 空间 部 署 NAT 的 意外 后 果 

5735 BCP 153 特殊 用 途 的 IPv 地 址 

5736 信息 型 的 IANA IPv4 特殊 目的 地 址 注册 处 

5737 信息 型 的 为 归档 ( Documentation ) 预 留 的 IPv4 地 址 块 

5771 BCP 51 IPv4 组 播 地 址 指派 IANA 指南 
58871 信息 型 的 重新 编 址 仍然 需要 进行 研究 工作 

DHCP 协议 各 RFC 

RFC 状态 标 ” 题 

1534 草案 标准 DHCP FI BOOTP 之 间 的 互 操作 

2131 草案 标准 动态 主机 配置 协议 

2132 草案 标准 DHCP 选项 和 BOOTP 厂商 扩展 

2241 建议 标准 Novell 目录 服务 的 DHCP 选项 

2242 建议 标准 NetWare/IP 域名 和 信息 

2485 建议 标准 开放 群 组 用 户 认证 协议 的 DHCP 选项 

2563 建议 标准 在 IPv4 客户 端 禁止 无 状态 自动 配置 的 DHCP 选项 
2610 建议 标准 服务 定位 协议 的 DHCP 选项 

2855 建议 标准 用 于 IEEE 1394 的 DHCP 

2937 建议 标准 DHCP 的 名 字 服 务 搜索 选项 

3004 建议 标准 DHCP 的 用 户 类 选项 
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(8) 
RFC 状态 标 ” 题 
3011 建议 标准 DHCP 的 IPv4 子 网 选择 选项 
3046 建议 标准 DHCP 中 继 代 理 信息 选项 
3074 建议 标准 DHC 负载 均衡 算法 
3118 建议 标准 DHCP 消息 认证 
3203 建议 标准 DHCP 重新 配置 扩展 
3256 建议 标准 DOCSIS 设备 类 DHCP 中 继 代 理 信 息 子 选 项 
336l 建议 标准 | 会 话 初 始 协 议 (SIP) 服 务 器 的 动态 主机 配置 协议 (用 于 IPv4 的 DHCP) 
选项 
3396 建议 标准 动态 主机 配置 协议 (DHCPv4) 中 的 编码 长 (long) 选项 
3397 建议 标准 动态 主机 配置 协议 (DHCP) 域 搜索 选项 
3442 建议 标准 动态 主机 配置 协议 (DHCP) 版 本 4 的 无 类 静态 路 由 选项 
3456 建议 标准 动态 主机 配置 (DHCPv4) 的 IPsec 隧道 模式 配置 
3495 建议 标准 CableLabs 客户 端 配 置 的 动态 主机 配置 协议 ( DHCP) 选 项 
3527 建议 标准 用 于 DHCPv4 的 中 继 代理 信息 选项 的 链 路 选择 子 选项 
beau 建议 标准 用 于 动态 主机 配置 协议 (DHCP) CableLabs 客户 端 配 置 ( CCC) 选项 的 密 
钥 分 发 中 心 (KDC) 服务 器 地 址 子 选 项 
3679 信息 型 的 未 用 动态 主机 配置 协议 (DHCP) 选 项 代码 
3825 建议 标准 基于 协作 的 位 置 配置 信息 的 动态 主机 配置 协议 选项 
3925 建议 标准 用 于 动态 主机 配置 协议 版 本 4(DHCPv4 ) 的 厂商 识别 的 厂商 选项 
3942 建议 标准 重新 分 类 动态 主机 配置 协议 版 本 4(DHCPv4 ) 选项 
3993 建议 标准 用 于 动态 主机 配置 协议 (DHCP) 中 继 代理 选项 的 订户 -ID 子 选 项 
4030 建议 标准 用 于 动态 主机 配置 协议 (DHCP) 中 继 代理 选项 的 认证 子 选 项 
4039 建议 标准 用 于 动态 主机 配置 协议 版 本 4(DHCPv4 ) 的 快速 提交 选项 
4174 建议 标准 用 于 因特网 存储 名 字 服 务 的 IPv4 动态 主机 配置 协议 (DHCP) 
4243 建议 标准 动态 主机 配置 协议 (DHCP) 中 继 代理 选项 的 厂商 特定 信息 子 选项 
4280 建议 标准 用 于 广播 和 组 播 控 制服 务 器 的 动态 主机 配置 协议 (DHCP) 选项 
4361 建议 标准 用 于 动态 主机 配置 协议 版 本 4(DHCPv4 ) 节点 特定 的 客户 端 标识 符 
4388 建议 标准 动态 主机 配置 协议 (DHCP) Leasequery ( 租赁 查询 ) 
4390 建议 标准 InfiniBand 之 上 的 动态 主机 配置 协议 (DHCP) 
4578 信息 型 的 用 于 Intel 提前 启动 执行 环境 (PXE) 的 动态 主机 配置 协议 (DHCP) 选 项 
4702 建议 标准 动态 主机 配置 协议 (DHCP) 客户 端 完 全 合格 的 域名 (FQDN) 选项 
4703 建议 标准 动态 主机 配置 协议 (DHCP) 客户 端 间 完全 合格 域名 ( FQDN) 冲突 解决 
4776 建议 标准 用 于 市 政 地 址 配置 信息 的 动态 主机 配置 协议 (DHCPv4 和 DHCPv6 ) 
4833 建议 标准 DHCP 的 时 区 选项 
5010 建议 标准 动态 主机 配置 协议 版 本 4(DHCPv4) 中 继 代理 标志 子 选项 
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( 续 ) 
RFC 状态 bp ” 题 
5071 信息 型 的 PXELINUX 所 用 的 动态 主机 配置 协议 选项 
5107 建议 标准 DHCP 服务 器 标识 符 重 写 子 选项 
5192 建议 标准 网 络 接 入 携带 认证 协议 (PANA) 认证 代理 的 DHCP 选项 
5223 建议 标准 使 用 动态 主机 配置 协议 (DHCP) 发 现 位 置 到 服务 的 转换 (LoST) 服务 器 
5417 建议 标准 无 线 接 入 点 控制 和 准备 (CAPWAP) 接 人 控制 器 DHCP 选项 
5460 建议 标准 DHCPv6 大 块 ( Bulk) 租赁 查询 
ene 标准 跟踪 用 于 IEEE 802.21 移动 性 服务 ( MoS) 发 现 的 动态 主机 配置 协议 (DH- 
CPv4 和 DHCPv6 ) 选 项 
5859 信息 型 的 DHCPv4 的 TFTP 服务 器 地 址 选项 


DHCPv6 协议 各 RFC 


RFC 状态 bp ” 题 
3315 建议 标准 用 于 IPv6 的 动态 主机 配置 协议 (DHCPv6) 
3319 建议 标准 会 话 初 始 协议 (SIP) 服务 器 的 动态 主机 配置 协议 (DHCPv6 ) 选项 
3633 建议 标准 动态 主机 配置 协议 (DHCP) 版 本 6 的 IPv6 前 级 选项 
3646 建议 标准 用 于 IPv6 的 动态 主机 配置 协议 (DHCPv6 ) 的 DNS 配置 选项 
3736 建议 标准 用 于 IPv6 的 无 状态 动态 主机 配置 协议 (DHCP ) 服务 
3769 信息 型 的 IPv6 前 级 委派 的 需求 

EETA 用 于 IPv6 的 动态 主机 配置 协议 (DHCPw ) 的 网 络 信息 服务 (NIS ) 配置 
3898 建议 标准 选项 
4075 建议 标准 DHCPv6 的 简单 网 络 时 间 协 议 (SNTP) 配置 选项 
4242 建议 标准 用 于 IPv6 的 动态 主机 配置 协议 (DHCPv6 ) 信息 刷新 时 间 选 项 
4580 建议 标准 用 于 IPv6 的 动态 主机 配置 协议 (DHCPv6 ) 中 继 代理 订户 -ID 选项 
4649 建议 标准 用 于 IPv6 的 动态 主机 配置 协议 (DHCPv6) 中 继 代理 远程 - ID 选项 
4703 建议 标准 动态 主机 配置 协议 (DHCP) 客户 端 间 完全 合格 域名 (FQDN) 冲突 解决 
ae 建议 标准 于 IPv6 的 动态 主机 配置 协议 (DHCPv6 ) 客户 端 完全 合格 域名 

(FQDN) 选项 

a 用 于 市 政 地 址 配置 信息 的 动态 主机 配置 协议 (DHCPv4 和 DHCPv6 ) 
4776 建议 标准 选项 
4833 建议 标准 DHCP 的 时 区 选项 
4994 建议 标准 DHCPv6 中 继 代理 回声 请 求 选项 
5007 建议 标准 DHCPv6 租赁 请 求 
5192 建议 标准 网 络 接 和 人 携带 认证 协议 (PANA) 认证 代理 的 DHCP 选项 
5223 建议 标准 使 用 动态 主机 配置 协议 (DHCP) 发 现 位 置 到 服务 的 转换 (LoST) 服务 器 
5460 建议 标准 DHCPv6 大 块 地 址 租赁 查询 

aye 用 于 IEEE 802.21 移动 性 服务 (MoS ) 发 现 的 动态 主机 配置 协议 (DH- 

5678 标准 跟踪 CPv4 和 DHCPw6) 
5908 标准 跟踪 DHCPv6 的 网 络 时 间 协 议 (NTP) 服务 器 选项 
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DNS 协议 各 RFC 


RFC 状态 be ” 题 

1034 标准 域名 一 一 概念 和 设施 

1035 标准 域名 一 一 实现 和 规范 

1101 未 知 网 络 名 和 其 他 类 型 的 DNS 编码 

1183 试验 型 的 新 的 DNS RR 定义 

1464 试验 型 的 使 用 域名 系统 来 存储 任意 字符 串 属性 

1480 信息 型 的 US( 美 国 ) 域 

1591 言 息 型 的 域名 系统 结构 和 委派 

1706 信息 型 的 DNS NSAP 资源 记录 

1712 信息 型 的 地 理 位 置 的 DNS 编码 

1876 试验 型 的 在 域名 系统 中 表示 位 置信 息 的 一 种 方法 

1982 建议 标准 序列 号 算术 

1996 建议 标准 芭 域 变更 提示 通知 的 一 种 机 制 (DNS NOTIFY) 
2136 建议 标准 域名 系统 中 的 动态 更 新 (DNS UPDATE) 

2163 建议 标准 使 用 因特网 DNS 来 分 发 MIXER 吻合 性 全 球 地 址 映射 (MCGAM) 
2181 建议 标准 DNS 规范 澄清 说 明 

2182 BCP 16 辅助 DNS 服务 器 的 选择 和 运行 

2219 BCP 19 为 网 络 服 务 使 用 DNS 别名 

2308 建议 标准 DNS 查询 的 负面 缓存 (DNS NCACHE) 

2317 BCP 20 无 类 IN - ADDR. ARPA 委派 

2536 建议 标准 域名 系统 中 (DNS ) 的 DSA KEY 和 SIG 

2539 建议 标准 域名 系统 (DNS ) 中 存储 Diffie - Hellman 密 钥 
2540 试验 型 的 分 离 域名 系统 (DNS ) 信息 

2671 建议 标准 DNS 的 扩展 机 制 ( EDNS0) 

2672 建议 标准 非 终端 DNS 名 重 定向 

2673 试验 型 的 域名 系统 中 的 二 进 制 标签 

2782 建议 标准 指定 位 置 服务 的 一 条 DNS RR( DNS SRV) 
2870 BCP 40 根 名 服务 器 运行 需求 

2874 试验 型 的 支持 IPv6 地 址 汇聚 和 重新 编 址 的 DNS 扩展 
3123 试验 型 的 地 址 前 缀 列表 的 一 个 DNS RR 类 型 (APL RR) 
3258 信息 型 的 通过 共享 的 单 播 地 址 分 发 权威 名 字 服 务 器 
3363 信息 型 的 在 域名 系统 (DNS ) 中 表示 因特网 协议 版 本 6(IPv6) 地 址 
3364 信息 型 的 因特网 协议 版 本 6(IPv6 ) 域名 系统 (DNS ) 支持 中 的 折 中 考虑 
3425 建议 标准 过 时 的 IQUERY 
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( 续 ) 
RFC 状态 标 ” 题 
3467 信息 型 的 域名 系统 ( DNS) 的 角色 
3490 建议 标准 应 用 中 的 国际 化 域名 (IDNA) 
3491 建议 标准 Nameprep :国际 化 域名 ( IDN) 的 一 个 Stringprep Profile 
ae 建议 标准 次 要 代码 ) :应 用 中 国际 化 域名 的 Unicode 的 一 个 Bootstring 
3596 草案 标准 支持 全 版 本 6 的 DNS 扩展 
3597 建议 标准 未 知 DNS 资源 记录 ( RR) 类 型 的 处 理 
3681 BCP 80 E. F. F. 3. IP6. ARPA. 的 委派 
3901 BCP 91 DNS IPv6 传输 运行 指南 
4074 言 息 型 的 针对 IPv6 地 址 DNS 查询 的 常见 错误 行为 
4159 BCP 109 反对 使 用 “ip6. int” 
4183 言 息 型 的 网 络 和 网 关 DNS 解析 的 一 种 建议 方案 
4185 信息 型 的 DNS 顶级 域 (TLD ) 名 字 的 国家 和 本 地 字符 ( character) 
4290 言 息 型 的 国际 化 域名 (IDN ) 注册 的 建议 实践 
4343 LE 议 标准 域名 系统 ( DNS) 大 小 写 不 敏感 概念 漆 清 
4367 言 息 型 的 名 字 中 是 什么 :有 关 DNS 名 字 的 错误 假定 
4406 试验 型 的 发 送 者 ID :认证 电子 邮件 
4406 试验 型 的 有 子 邮件 地 址 中 据 称 负责 的 地 址 
4407 试验 型 的 电子 邮件 中 域 的 授权 使 用 的 发 送 者 策略 框架 (SPF) 版 本 1 
4472 信息 型 的 IPv6 DNS 的 运行 考虑 和 问题 
4592 LE 议 标准 域名 系统 中 通配符 的 角色 
4690 信息 型 的 国际 化 名 字 ( IDN) 的 评述 和 建议 
4697 BCP 123 观察 到 的 DNS 解析 错误 行为 
a 建议 标准 用 于 编码 主机 配置 协议 (DHCP) 信息 的 一 种 DNS 资源 记录 (RR) ( DH- 
CID RR) 
4892 信息 型 的 对 识别 一 个 名 字 服 务 器 实例 机 制 的 需求 
5001 建议 标准 DNS 名 字 服 务 标识 符 ( NSID ) 选项 
5158 信息 型 的 6to4 DNS 委派 规范 
5205 试验 型 的 主机 身份 协议 ( HIP) 域 名 系统 ( DNS) 扩 展 [ HIP RR] 
5395 BCP 42 域名 系统 ( DNS)IANA 考虑 
5507 信息 型 的 当 扩 展 DNS 时 的 设计 选择 
5679 建议 标准 使 用 DNS 定位 IEEE 802. 21 移动 性 服务 
5855 BCP 155 IPv4 和 IPv6 反 向 区 域 的 名 字 服 务 器 
5864 标准 跟踪 AFS 的 DNS SRV 资源 记录 
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(88) 

RFC 状态 标 ” 题 
5890 标准 跟踪 应 用 的 国际 化 域名 (IDNA) :定义 和 文档 框架 
5891 标准 跟踪 应 用 的 国际 化 域名 (IDNA) :协议 
5892 标准 跟踪 应 用 的 Unicode 码 点 和 国际 化 域名 ( IDNA) 
5893 标准 跟踪 用 于 应 用 的 国际 化 域名 (IDNA) 的 从 右 到 左 脚 本 
5894 标准 跟踪 应 用 的 国际 化 域名 (IDNA) :背景 .解释 和 合理 性 论据 
5936 标准 跟踪 DNS 区 域 传输 协议 (AXFR ) 

DNS 安全 有 关 的 各 RFC 
RFC 状态 标 ” 题 
2230 信息 型 的 DNS 的 密 钥 交换 委派 记录 
2845 建议 标准 DNS 的 安全 密 钥 事务 认证 (TSIC ) 
2930 建议 标准 DNS 的 安全 密 钥 建立 (TKEY RR) 
2931 建议 标准 DNS 请 求 和 事务 性 签名 (SIG(0) ) 
3007 建议 标准 安全 的 域名 系统 (DNS ) 动态 更 新 
3110 建议 标准 域名 系统 (DNS) 中 RSA/SHA -1 SIG 和 RSA KEY 
3645 建议 标准 用 于 DNS 密码 密 钥 事 务 认证 的 通用 安全 服务 算法 ( GSS - TSIG ) 
3833 信息 型 的 域名 系统 ( DNS) 的 威胁 分 析 
4033 建议 标准 DNS 安全 导论 和 需求 
4034 建议 标准 DNS 安全 扩展 的 资源 记录 
4035 建议 标准 DNS 安全 扩展 的 协议 修改 
4255 建议 标准 使 用 DNS 来 安全 地 发 布 安全 外 过 (SSH) 密 钥 指纹 
4398 建议 标准 在 域名 系统 ( DNS) 中 存储 证 书 
4431 信息 型 的 DNSSEC 旁 查 (Lookaside ) 核验 ( DLV ) 资源 记录 
4470 建议 标准 最 小 化 覆盖 NSEC 记录 和 DNSSEC 在 线 签名 
4509 建议 标准 DNSSEC 委派 签名 人 ( DS) 资源 记录 (RR) 中 使 用 SHA -256 
4641 信息 型 的 DNSSEC 运行 实践 
4686 信息 型 的 促进 域 密 钥 识别 邮件 (DKIM ) 的 威胁 分 析 
4871 建议 标准 域 密 钥 识别 邮件 (DKIM ) 签名 
4955 建议 标准 DNS 安全 (DNSSEC ) 试验 
4956 试验 型 的 DNS 安全 (DNSSEC ) 参与 
4986 信息 型 的 与 DNS 安全 (DNSSEC ) 信任 锚 点 轮转 有 关 的 需求 
5011 建议 标准 DNS 安全 (DNSSEC ) 信任 错 点 的 自动 化 更 新 
5016 信息 型 的 域 密 钥 识别 邮件 (DKIM ) 签名 实践 协议 的 需求 
5074 信息 型 的 DNSSEC 53 #8 445% (DLV) 
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( 续 ) 
RFC 状态 标 ” 题 
siss 建议 标准 DNSSEC ) 哈 希 经 认证 的 存在 性 拒绝 [NSEC3， 
5358 BCP 140 防止 在 反射 器 攻击 中 递归 使 用 名 字 服 务 器 
5452 标准 跟踪 使 DNS 对 伪造 答案 更 加 具有 抑制 性 的 措施 
5585 信息 型 的 域 密 钥 识 别 邮件 (DKIM ) 服务 综述 
5617 标准 跟踪 域 密 钥 识别 邮件 (DKIM ) 作者 域 签名 实践 (ADSP) 
5672 标准 跟踪 RFC 4871 域 密 钥 识别 邮件 (DKIM) 签名 一 一 更 新 
s 建议 标准 DNSSEC 的 DNSKEY 和 RRSIG 资源 记录 中 与 RSA 一 起 使 用 SHA -2 
5782 信息 型 的 DNS 黑 名 单 和 白 名 单 
5863 信息 型 的 域 密 钥 识别 邮件 (DKIM) 开 发 .部 署 和 运行 
5933 标准 跟踪 在 DNSSEC 的 DNSKEY 和 RRSIG 资源 记录 中 使 用 GOST 签名 算法 
DNS ENUM 有 关 的 各 RFC 
RFC 状态 标 题 
2916 建议 标准 E. 164 号 和 DNS 
3245 信息 型 的 电话 号 码 映 射 (ENUM) 的 历史 和 背景 … 
TA 建议 标准 Pa 发 现 系统 (DDDS) 第 三 部 分 :域名 系统 (DNS ) 数据 库 [ NAPTR 
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